インドの決済アプリメーカー、モビクイックは、自社のセキュリティが侵害されたことを否定し、もし同社の顧客情報がダークウェブ上に流出したという主張が事実であるならば、その責任は他のプラットフォームに全面的に帰せられると主張した。
「一部のユーザーから、自分のデータがダークウェブ上で閲覧可能になっているとの報告がある」と、同社が3月30日付で出したメッセージには記されている。
現在調査中ですが、ユーザーが複数のプラットフォームに情報をアップロードしていた可能性は十分にあります。したがって、ダークウェブ上で入手可能なデータがMobiKwikなどの特定された情報源からアクセスされたという主張は誤りです。
顧客データがMobiKwikのシステムから悪意のある人物によって盗み出されたという主張は、セキュリティ研究者Rajshekhar Rajaharia氏のツイートで3月初旬に浮上した。
ハッカーによると、1億1千万ルピー相当のインド人カード保有者のデータが@MobiKwikのサーバーから漏洩したとされています。ハッカーはまだデータを保有しているようです。バックアップは2021年1月20日に取得されたとされています。ハッカーは過去30日間MobiKwikにアクセスしていたと主張しています。@RBI @IndianCERT この件について調査をお願いします。#InfoSec #GDPR pic.twitter.com/tBS3U6Oqhw
— ラジシェカール・ラジャハリア (@rajaharia) 2021年3月4日
翌日、MobiKwik はこの主張に対して激しく反論した。
先週、メディアに取り憑かれた、いわゆるセキュリティ研究者が、捏造されたファイルを繰り返し提示し、私たちの組織の貴重な時間を無駄にしながら、必死にメディアの注目を集めようとしました。私たちは彼の主張を徹底的に調査しましたが、セキュリティ上の欠陥は見つかりませんでした。1/n
— MobiKwik (@MobiKwik) 2021年3月4日
— MobiKwik (@MobiKwik) 2021年3月4日最後に、当社の法務チームは、不純な動機で当社のブランドの評判を傷つけようとしているこのいわゆる研究者に対して、厳正な措置を講じるつもりです。n/n
-チームMobiKwik
モビクイックは、否定と法的措置の脅しを繰り返す中、自社のシステムが侵害され、顧客情報が盗み出され漏洩した可能性について調査したと述べた。「先月この問題が初めて報じられた際、当社は外部のセキュリティ専門家の協力を得て徹底的な調査を実施しましたが、侵害の証拠は見つかりませんでした」と同社は述べている。
同社は、「機密データを保管するためのセキュリティプロトコルは堅牢であり、侵害されていないと確信している」と宣言している。
インド鉄道は、さまざまなITアプリケーションで詳細不明のセキュリティ侵害に遭った
続きを読む
しかし、同社はそれ以上の調査を行わないほど自信過剰ではない。「申し立ての重大性を考慮し、万全の注意を払うため、(同社は)第三者機関にフォレンジックデータセキュリティ監査を実施させる」と同社は述べている。
MobiKwikの顧客によると、同社のデータサンプルは依然としてオンラインで販売されているという。Tor経由でアクセスできるのは断続的だが、これは、収集されたデータをホストするサーバーやインフラが、好奇心旺盛な人や悪意のある人からの需要に応えきれていないか、あるいは特定の時間帯にしか稼働していないためだと言われている。
研究者や顧客によると、漏洩したデータにはカード番号、インドの金融機関が投資家の身元確認に使う顧客確認番号、さらにはインドのアーダール国民ID番号も含まれている可能性があるという。
haveibeenpwned.comの創設者トロイ・ハント氏は、MobiKwikによる情報漏洩への対応を厳しく批判した。「今のところ見ている限りでは、彼らはまるで『イラクの情報大臣』のように振る舞っている」とツイートし、インド企業の対応を最悪の慣行だと非難した。®
25日前のこのスレッドで@MobiKwikがやったような行動は絶対にやめてください。今すぐ「mobikwik データ侵害」でGoogle検索してみてください… https://t.co/L5E4xc1ey0
— トロイ・ハント(@troyhunt)2021年3月29日
