数字银行客户数据突破第三方
美国数字银行戴夫报告说,在黑客通过第三方技术供应商获得访问权限之后,违反了客户数据。
银行应用程序提供商告诉客户,前伴侣Git Analytics Provider Waydev违反了曾超过七千万客户被盗的个人信息。包含密码,以及诸如姓名,电子邮件,出生日期,地址和电话号码之类的个人用户信息。
据报道,Dave不是Waydev的客户,当违规发生并使用Waydev的旧OAuth(公开授权)代币。OAuth是Internet上基于令牌的授权的开放标准授权框架。
戴夫在一份声明中表示,恶意党声称已经“破解了一些这些密码并试图出售戴夫客户数据”。
该公司现已与在内的执法机构合作,包括联邦调查局,调查。
“重要的是,这不影响银行账号,信用卡号码,金融交易记录或未加密的社会安全号码,”它说。“我们没有证据表明任何未经授权的行动都与任何账户进行或任何用户因这次事件而经历任何财务损失。”
戴夫说,当它意识到违约时,它立即启动了正在进行的调查,现在正在与执法机构合作。
它表示它已经快速保护了其系统,并“遍布时钟”以保持客户的账户安全。它目前正在通知所有客户的事件,并正在执行所有DAVE客户密码的强制重置。网络安全顾问Crowdstrike正在协助恢复。
安全技术供应商Gurucul的Saryu Nayyar表示,突发是通过第三方获得环境的第三方的另一个攻击的示例。“这是一个共同的主题,并导致了一些高调,昂贵的漏洞,”他说。“挑战正在获得可以访问自己系统的第三方环境或应用程序的可见性。”
安全产品管理高级总监Mark Crichton Onespan表示,向第三方开放数据将始终增加网络攻击的机会。“但是,银行应确保他们有能力的技术,使他们能够更好地检测可能因受损数据而成为可能的欺诈类型,”他补充说。
“银行还应确保他们只与拥有适当安全基础设施的第三方合作,减轻任何被盗的数据的机会。”