創始人 網路攻擊分析與調查中心 (TSARKA) 奧爾扎斯·薩提耶夫 講述了微型金融組織 Zaimer kz(MFO)疑似遭駭客洩漏超過 200 萬 筆客戶個資的事件經過。
根據 媒體 報導,TSARKA 負責人認為,可能有一個駭客組織入侵了 「Robokash」 公司,該公司為 Zaimer kz 這類組織提供資訊系統。
「他們不只存在於哈薩克,在菲律賓、越南、俄羅斯都有業務。在哈薩克,他們有 Zaimer kz。根據我們的理解,他們(駭客)似乎是提出贖金要求,或是勒索該組織,要嘛付錢,要嘛我們就公開你們的資料。結果,我認為是沒談攏,可能是 Robokash 公司不願意付錢,或是不相信對方。之後,這個駭客組織就在 Telegram 上公開了 Zaimer kz、Zaimer ru 以及其他菲律賓和越南系統的客戶資料庫」,奧爾扎斯·薩提耶夫如此表示。
針對名單中為何出現從未向 MFO 借過貸款 的人,這位「白帽駭客」推測,攻擊者可能取得並洩漏了不僅是現有客戶,也包括潛在客戶的資料。
「例如,當一個人只是想申請小額信貸,為了進行信用評分而輸入個資時,他的資料就會進入系統。這個人最後可能根本沒有貸款,但他曾在某處輸入過這些資料。第二種情況是,當你貸款時,你會提供幾個聯絡人,通常是姐妹、兄弟、父母。這些資料也出現在這次的洩漏中」,專家解釋道。
與此同時,奧爾扎斯·薩提耶夫指出,要將這份名單從公開領域中移除已 不可能。它極有可能已在網路上流傳,許多人,包括詐騙者,都已經下載了它。
「現在能做的,就是寫一份聲明。已經有約一千五百份聲明提交給資訊安全委員會,要求他們啟動調查。公民目前只能透過 E-otinish 提交聲明,告知他們的資料被非法洩露並遭到使用。而該組織很可能會因個資洩漏而被處以罰款。實際上,這個罰款並不大」,薩提耶夫說道。
提醒一下,先前已向哈薩克民眾 通報 其個資在 「EgovMobile」 應用程式 中發生洩漏。連從未在 MFO 申請過貸款的人也收到了通知。
「您的個人資料出現在 Zaimer kz 客戶資料庫的洩漏中!您有權向哈薩克共和國數位發展、創新和航空航天工業部資訊安全委員會提出投訴,控告其違反個人資料保護法規」,通知中如此寫道。
值得注意的是,目前許多民眾反映,先前收到的資料洩漏通知已從「EgovMobile」中消失。