La protezione da scoperto e il servizio di anticipo in contanti Dave ha subito una violazione dei dati che sembrava coinvolgere le pratiche di un ex fornitore di terze parti, portando il suo database contenente 7,5 milioni di record di utenti venduti all'asta e successivamente rilasciati gratuitamente sui forum degli hacker.
Le informazioni rubate, che sembravano essere state prese dal gruppo di hacker ShinyHunters , includevano informazioni personali dell'utente tra cui nomi, e-mail, date di nascita, indirizzi fisici e numeri di telefono, ma non numeri di conto bancario, numeri di carte di credito, registrazioni di transazioni finanziarie o Social non crittografato Numeri di sicurezza, secondo un post sul blog aziendale.
Il venditore di terze parti Waydev, un ex partner commerciale che lavorava con Dave, apparentemente usava token OAuth compromessi.
Dave ha dichiarato di non avere prove del fatto che siano state intraprese azioni non autorizzate con qualsiasi account o che qualsiasi utente abbia subito perdite finanziarie a seguito dell'incidente, che è in procinto di notificare a tutti i clienti di ripristinare tutte le password dei clienti per l'azienda.
La compagnia ha denunciato l'incidente all'FBI e ha trattenuto CrowdStrike per contribuire alla mitigazione.
La parte malintenzionata ha recentemente ottenuto un accesso non autorizzato a tali dati degli utenti Dave, incluse le password degli utenti che sono state archiviate in forma hash utilizzando bcrypt .
Tuttavia, l'affermazione di Dave secondo cui la violazione si è verificata attraverso una terza parte non la assolve dalla responsabilità, ha sottolineato Javvad Malik, sostenitore della consapevolezza della sicurezza presso KnowBe4.
"Resta il fatto che ogni volta che un'organizzazione esternalizza una parte delle sue operazioni a terzi, sia fisicamente che nel cloud, sono ancora responsabili della sicurezza dei dati e devono mettere in atto controlli di sicurezza completi con la terza parte oltre a ottenere la certezza che tali controlli funzionino correttamente ", ha dichiarato Malik.
Mark Bower, vicepresidente senior presso comforte AG , esperto di sicurezza dei dati, ha dichiarato che l'attuale sistema di controllo delle operazioni è inadeguato.
"Il segreto del settore sporco qui è che mentre le aziende potrebbero ritenere di aver protetto i fornitori di terze parti attraverso una serie di laboriose domande di valutazione dei fornitori 1.200 o una valutazione passata SOC2 o ISO 27001 dei controlli di sicurezza, il fatto è che quelli non vanno abbastanza lontano", Disse Bower.
Sebbene la conformità a tali framework sia importante per stabilire la cultura della sicurezza, la responsabilità dei dirigenti e i controlli di base, è inutile che gli aggressori possano aggirarli e ottenere dati. "Ciò può accadere a causa di errori umani, ingegneria sociale, malware, API e sfruttamento vulnerabile", ha aggiunto Bower.
Chris Clements, vicepresidente dell'architettura delle soluzioni per Cerberus Sentinel, ha affermato che la violazione dei dati delle informazioni dei clienti di Dave evidenzia i pericoli della gestione impropria dei fornitori di sicurezza IT.
"La mancata quantificazione del rischio di concedere a terzi l'accesso ai dati sensibili porta a controlli e monitoraggio lenti da parte di molte organizzazioni", ha affermato Clements. Come parte di un efficace programma di gestione dei fornitori, tutti i partner commerciali che interagiscono con sistemi o dati sensibili dovrebbero essere contrattualmente tenuti a dimostrare regolarmente che stanno seguendo le migliori pratiche di sicurezza delle informazioni e devono eseguire regolarmente test di sicurezza o "hacking etici" contro il loro ambiente.
"La causa principale della violazione di Waydev è stata un attacco di iniezione SQL cieco che avrebbe dovuto essere rilevato da regolari test di penetrazione e avrebbe evitato questa particolare violazione se rimediata", ha affermato Clements.
Per gestire il rischio attraverso le proprie reti e una gamma crescente di partner, l'azienda deve disporre di strumenti in grado di monitorare e stabilire le priorità delle vulnerabilità nell'intero ecosistema delle minacce, in particolare le aree con scarsa visibilità come la gestione degli utenti, ha sottolineato Vinay Sridhara, CTO di Balbix.
Il post di Dave ShinyHunters ha rivelato che 7,5 milioni di record utente sono apparsi per primi su SC Media .