网络安全攻击分析与调查中心 (TSARKA) 创始人 奥尔扎斯·萨季耶夫 讲述了小额信贷机构 Zaimer kz 超过 200 万客户个人数据疑似遭黑客泄露的经过。
据 媒体 报道,TSARKA 负责人认为,可能有一个黑客组织入侵了为 Zaimer kz 等机构提供信息系统的 “Robokash” 公司。
“他们不仅在哈萨克斯坦运营,还在菲律宾、越南和俄罗斯开展业务。在哈萨克斯坦,他们拥有 Zaimer kz。根据我们的了解,他们(黑客)很可能提出了赎金要求,或者勒索这家公司,意思是‘要么付款,要么我们就公布你们的数据’。最终,据我理解,双方没有谈拢,要么是 Robokash 公司不愿支付,要么是不相信(黑客会公布)。之后,黑客组织便在 Telegram 上公开发布了 Zaimer kz、Zaimer ru 以及菲律宾和越南其他系统的客户数据库。” 奥尔扎斯·萨季耶夫表示。
在回答名单中为何会出现从未在小额信贷机构 贷过款 的人这一问题时,这位“白帽黑客”推测,不法分子可能获取并泄露了不仅是现有客户,也包括潜在客户的数据。
“例如,当一个人只是想获得小额贷款,并输入自己的数据进行信用评分时,他的数据就会进入系统。这个人最终可能并未贷款,但曾在某处输入过这些数据。其次,当您贷款时,需要提供几个联系人,通常是姐妹、兄弟和父母。这些数据也出现在此次泄露中。” 该专家解释道。
与此同时,奥尔扎斯·萨季耶夫指出,将这些名单从公共领域删除已 不可能。它很可能已经在网络上传播,许多人(包括诈骗者)已经下载。
“现在能做的就是写声明。已有约一千五百份声明提交给了信息安全委员会,要求他们启动调查。公民目前只能通过 E-otinish 系统提交声明,说明他们的数据被非法泄露和使用。而这家公司很可能会因泄露个人数据而面临罚款。实际上,这个(罚款)数额并不大。” 萨季耶夫说道。
此前,哈萨克斯坦公民曾通过 “EgovMobile” 应用程序 收到关于其个人数据泄露的通知。通知也发送给了那些从未在小额信贷机构办理过贷款的人。
“您的个人数据出现在 Zaimer kz 客户泄露的数据库中!您有权就违反个人数据保护法规的行为向哈萨克斯坦共和国数字发展、创新和航空航天工业部信息安全委员会提出申诉。” 通知中写道。
值得注意的是,目前许多公民反映,收到的数据泄露通知已从“EgovMobile”应用程序中 消失。
