Más de 10 millones de datos de clientes de Mobikwik flotan en la web oscura. Al menos, esto es lo que algunos expertos independientes en ciberseguridad afirman. La India, nunca había presenciado una filtración de datos tan pero tan grande. Si Mobikwik tenía miras a consolidarse como compañía, es muy difícil que lo logre después de esto.
¿Evidencia falsa?
Mobikwik tiene bases en Gurugram, pero por el momento se mantiene firme al decir que la filtración no ha tenido lugar. Su postura en contra de los investigadores y los acusa de de presentar evidencia falsa, o en sus palabras, archivos inventados. Afirman haber investigado a profundidad y niegan la filtración.
“Investigamos a fondo y no encontramos fallas de seguridad. Nuestros datos de usuarios y empresas están completamente seguros“, declaró un portavoz de la startup.
Rajaharia, Baptiste y Jain
Estos son tres de los nombres que más figuran en la investigación. Por un lado, Rajshekhar Rajaharia. Por otro lado, el francés Robert Baptiste alias “Elliot Alderson”. Y finalmente, Avinash Jain. Estos tres importantes investigadores, confirmaron el ataque con un detalle y precisión que Mobikwik dudó en objetar.
Algunos detalles de la investigación
- Información personal del usuario.
- ID de correo electrónico.
- Números de teléfono.
- Nombres, direcciones y contraseñas.
- Ubicaciones de GPS y datos relacionados con los dispositivos móviles de los usuarios.
Toda la data provenía del servidor principal de Mobikwik, y coincide desafortunadamente, con la data de la web oscura subida durante los primeros días del mes de enero.
“Se deberían haber cambiado las claves y contraseñas habituales y se deberían haber supervisado los registros para evitar este tipo de compromiso de seguridad”, expresó Rajaharia.
Asimismo, algunos clientes de Mobikwik habían solicitado préstamos que ahora están a la venta y están siendo canjeados por bitcoins. Eso significa que el desastre es aún mayor, la filtración también contiene números de tarjetas y valores hash… Por lo que algunas personas corren el riesgo de perder demasiado dinero.
“Se puede acceder a los datos personales de los usuarios en texto plano y se almacenan de forma insegura en sus servidores”. Parece que el atacante se apoderó de su infraestructura en la nube y pudo acceder a los almacenes de datos donde se almacenaba esta información”, dijo Jain.
Las violaciones de datos aumentan más y más
A pesar de que el Banco de la Reserva de la India monitorea algunas brechas de seguridad y ha implementado ajustes nuevos para restringir la exposición de los clientes a través de servidores de pasarelas con licencia, las violaciones aumentan más y más… En definitiva, todo sistema de seguridad debe ser reforzado por las propias empresas bajo sus sistemas.
Por supuesto que Mobikwik estaba advertido con tan solo mirar a su alrededor: Big Basket, Unacademy o la plataforma de pagos JusPay eran ejemplos suficientes que Mobikwik debió conocer y tomar como referencia para fortalecer sus medidas de protección. Es cierto cuando dicen que cada startup en India necesita trabajar mucho más en la seguridad de datos de sus usuarios, y para quienes no lo han hecho, probablemente ya es tarde.