Dave數據遭泄露，影響750萬用戶

Dave是為客戶提供透支保護和預借款服務的一家公司，近期該公司遭受數據泄露攻擊，一份包含Dave 750萬用戶記錄的數據庫被攻擊者在網上拍賣，隨后被免費發布在黑客論壇上。

作為一家金融科技公司，Dave允許用戶關聯個人銀行賬戶，可以根據用戶賬單金額提前借款給客戶，從而避免出現透支。用戶只需要額外支付一定費用，便可獲取最高100美元的貸款額度，但在還款前不能繼續貸款。

[[335562]]

上周五，一位攻擊者在某黑客論壇上免費發布了包含7,516,691個Dave用戶記錄的數據庫。

在我們就泄露事件與Dave取得聯系后，Dave在第二天發表公告，表示公司出現數據庫泄露事件。

Dave在昨晚回復BleepingComputer的一份聲明中表示，數據庫泄露的原因在于他們曾使用過的第三方數據服務提供商Waydev不久前遭受過黑客攻擊。

“由于Waydev最近遭受過黑客攻擊，因此攻擊者獲得了Dave部分客戶數據的未授權訪問權限，其中包括用戶密碼信息，這些密碼經過bcrypt處理，以哈希形式存儲(bcrypt是業內認可并采用的一種哈希算法)。”

“被竊取的信息中還包括客戶的部分個人信息，如姓名、電子郵件地址、出生年月、家庭住址和手機號碼。值得慶幸的是，這些信息并不涉及銀行賬號、信用卡號、交易記錄，或者任何的明文密碼。目前還沒有證據表明此次事件波及到具體用戶賬戶，也沒有任何用戶因此遭受財產損失。”

“事件發生以后，Dave立即展開緊急調查，并與執法部門(包括FBI)合作處理該事件。目前調查仍在進行中，我們密切關注到有攻擊者聲稱已破解部分密碼，并在嘗試出售用戶數據。此外，Dave安全團隊已對系統采取了緊急加固，正全天候工作中，確保用戶數據安全。Dave正在向所有用戶告知此次事件，已強制重置所有用戶的密碼。Dave還聘請了高級網絡安全顧問CrowdStrike，協助解決此次事件。”

目前我們并不知道Waydev被攻擊的具體過程，但已經與對方取得聯系。

根據我們已獲取的樣本，此次泄露的數據中包括姓名、電話、住址、出生年月、加密的社保號、電子郵件地址，以及經過Bcrypt哈希處理的密碼。

雖然Dave已強制重置所有賬戶的密碼，但如果用戶曾在其他網站上使用過相同的密碼，那么仍然存在安全風險。為了避免出現這種情況，我們強烈建議相關用戶立即更改其他站點上的密碼。

從拍賣到免費提供

雖然Dave基本上及時并且負責任地披露了此次數據泄露事件，但這個事情其實并沒有那么簡單。

在本月初，網絡情報公司Cyble與BleepingComputer取得聯系，稱有攻擊者正在黑客論壇上拍賣Dave數據庫。當時Cyble已經向Dave提供了拍賣的相關信息，Dave表示該問題正在處理中。

除了拍賣Dave數據外，這名攻擊者還拍賣了Swvl.com以及Dunzo.com的數據庫。2020年7月11日，Dunzo發表公告，稱公司遭到數據泄露攻擊。

大約在2020年7月14日，黑客論壇上刪除了拍賣Dave數據的帖子，據Cyble了解到的信息，該數據已私下售出，售價約為16,000美元。

2020年7月24日，名為ShinyHunter的泄露數據賣方在另一個黑客論壇上免費公布了整個數據庫。

被泄露出來的Dave數據庫中包含7,516,691條用戶記錄以及3,092,396個電子郵件地址。如前文所述，密碼經過Bcrypt加密，此外數據庫中還包含經過加密的社保號碼。

ShinyHunter是非常知名的泄露數據賣方，過去曾銷售、泄露過大量數據庫，包括HomeChef、 ChatBooks、 Chronicle.com、 Wattpad以及Tokopedia。

目前我們尚不清楚ShinyHunter為何會直接泄露該數據庫，不采用售賣方式。考慮到數據庫已被泄露，其他攻擊者可能會破解密碼哈希，在憑據碰撞攻擊中使用這些用戶。

這里必須再強調一遍，請大家及時修改密碼，不要在其他網站上使用在Dave app中使用過的相同密碼。