Cover Image

Dave Bank ammette la violazione dei dati dei clienti

27 Luglio 2020 - Tempo di lettura: 3 minuti

Un gigante americano della fintech ha ammesso di aver subito una violazione dei dati personali dei clienti tramite un fornitore di terze parti, dopo che i ricercatori hanno scoperto un database contenente milioni di record in vendita online.

Dave, con sede a Los Angeles, offre servizi bancari digitali e nel 2019 ha raggiunto una valutazione di $ 1 miliardo dopo soli due anni di attività.

Tuttavia, la scorsa settimana sono emersi rapporti secondo cui i dettagli dei suoi clienti venivano scambiati sul darkweb. Il venditore ShinyHunters ha rilasciato gratuitamente il contenuto venerdì, anche se nelle settimane precedenti era stato messo all'asta da un nuovo utente su un forum separato.

Si sostiene che ci siano oltre 7,5 milioni di record associati a tre milioni di indirizzi e-mail nel raggio.

Durante il fine settimana, Dave ha rilasciato una dichiarazione ufficiale a conferma della violazione.

"A seguito di una violazione di Waydev, uno degli ex fornitori di servizi di terze parti di Dave, una parte malintenzionata ha recentemente ottenuto un accesso non autorizzato a determinati dati degli utenti su Dave, incluse le password degli utenti che sono state archiviate in forma hash usando bcrypt, un hashing riconosciuto nel settore algoritmo", ha spiegato.

“Le informazioni rubate includevano anche alcune informazioni personali dell'utente tra cui nomi, e-mail, date di nascita, indirizzi fisici e numeri di telefono. È importante sottolineare che ciò non ha influito sui numeri di conto bancario, sui numeri di carta di credito, sui registri delle transazioni finanziarie o sui numeri di previdenza sociale non crittografati".

Sebbene Dave abbia affermato che non ci sono prove che il furto abbia comportato perdite finanziarie o accesso non autorizzato agli account, entrambe le carte sono ora disponibili e il gioco è stato reso disponibile gratuitamente.

Le password potrebbero essere tecnicamente decodificate e quindi utilizzate per il riempimento di credenziali su altri account, mentre le informazioni personali esposte nell'incidente potrebbero essere distribuite per rendere più convincenti gli attacchi di phishing.

Dave ha dichiarato che sta notificando tutti i clienti interessati e ha eseguito un ripristino obbligatorio di tutte le password dei clienti Dave.

intopic.it