1740462236
2025-02-25 04:11:00
- インドのローン会社Vivifiはデータ侵害に苦しんだと伝えられています
- 3,600万個のファイルが露出したままでした
- これらは主に個人を特定できる情報(PII)で構成されていました
主要なデジタル貸出アプリは、誤って構成された後、明らかに機密性の高い顧客データを公開しているようです アマゾン AWS S3は、認証なしで無担保で保護されていないバケツでした。
CyberNews 研究者は、ローンプロバイダーのVivifiが、顧客(KYC)文書をオンラインで開いている3,600万ファイルを残したことを発見しました。データ侵害の後の主なリスクは、犯罪者があなたの情報を使用して、個人情報の盗難または詐欺スキームでクレジットカード、ローン、または銀行口座を申請することです。そのため、顧客情報が侵害されているローン会社は、サイバークリミナルにとってほとんど簡単になります。
リークには、パスポート、IDカード、運転免許証、ユーティリティ請求書、銀行声明、ローン契約書などが含まれていました。
継続的な調査
研究者は2024年11月28日に漏れを発見し、バケツは2025年1月16日まで閉鎖されていませんでした。つまり、犯罪者はデータを見つけてアクセスするために1か月以上持っていましたが、内部の法医学監査のみを提案する証拠はありません。これを決定します。
顧客(KYC)文書は、金融機関が使用して、アイデンティティ、住所、収入の証明に関して規制や法律を遵守することを保証します。残念ながら、これはすべてのサイバー犯罪者であり、被害者の名前でローンを奪うか、特に説得力のあるソーシャルエンジニアリング攻撃を作成する必要があります。
「たとえば、攻撃者はリークされたローン契約の詳細または銀行情報を使用して、緊急の支払いまたは口座確認を要求することができます」とCybernewsの研究者は述べました。
「場合によっては、これらの個人的な詳細を集計して暗いウェブで販売することができ、被害者がプライバシーを保護し、アイデンティティを確保するための危険をさらにエスカレートさせ、複雑な努力をします」とチームは付け加えました。
データ侵害はすべて一般的であり、フィンテック企業は免疫がありません。 2025年の初めに、メキシコのフィンテック会社 MIIOは同様のデータ侵害を受け、数百万の機密データのファイルを公開しました – ビビフィ漏れよりも大幅に少ないが。
顧客にとって深刻なリスク
残念ながら、このデータ侵害は、攻撃者にとって絶好の機会です。 KYCドキュメントは、まさにサイバー犯罪者が促進するために必要なものです 個人情報の盗難 と詐欺。識別文書と個人を特定できる情報(PII)により、攻撃者はローン、クレジットカードを取得したり、名前で新しい銀行口座を作成したりできます。
これを安全に保つために、キーはアラートを維持し、アカウントを監視することです。がある 個人および家族向けの個人情報の盗難保護計画、本質的にあなたの監視を行い、多くの場合、保険プランで100万ドル以上を提供し、ダークウェブ監視とマルウェア対策ソフトウェアを提供します。
自分で監視をしたい場合は、おそらく違反に直接影響を受けたわけではなく、保護され続けたいと思っています。
まず、銀行の明細書、アカウント、および取引です。疑わしいアクティビティが表示された場合は、銀行にすぐに警告し、可能であれば凍結または一時停止します。
次、 強力で安全なパスワードを作成します 個々のアカウントごと、または少なくとも財務、健康、または機密情報を保持しているアカウントについては、使用するサービスが違反またはサイバー攻撃に関与している場合は、すぐにパスワードを変更してください。
それは痛みですが、有効です 多要因認証またはMFA 侵入者に対する保護の優れた層であるため、機密情報を持つアカウントにとっては、それが重要です。
PIIが漏れている場合、常に追加の危険があります フィッシングのようなソーシャルエンジニアリング攻撃、違反からのデータを使用して、定期的に使用するサービス、興味が何であるか、または友人や家族でさえも決定されます。
そこから、攻撃者は上記のいずれかになりすまして電子メールを送信し、悪意のあるリンクをクリックしたり、QRコードをスキャンしたり、詳細を引き渡したりするようになります。
予期しない通信に目を光らせ、電子メールの送信者をよく見てください – わからない場合は、リンクを押さないでください。正当なメールアドレスが何であるかを検索しないでください。彼らのウェブサイト。
あなたの銀行は電話または電子メールを介してあなたのアカウントの詳細をあなたに尋ねないことを忘れないでください – そして、彼らはあなたの資金を別のアカウントに転送するようにあなたに依頼しません。
あなたも好きかもしれません
#トップデジタルローン会社のセキュリティスリップアップは3600万人のユーザーのデータを危険にさらしています