Violation de données MobiKwik

Fin mars 2021, un forum du dark web a mis en vente 8,2 téraoctets de données liées à la fintech indienne MobiKwik, couvrant prétendument jusqu'à 99 millions d'utilisateurs. L'annonce — et les démentis répétés et combatifs de MobiKwik — en ont fait l'un des épisodes d'exposition de données les plus controversés du secteur des paiements en Inde.

Ce qui s'est passé

Le chercheur en sécurité Rajshekhar Rajaharia a signalé pour la première fois en février 2021 que des données de clients MobiKwik semblaient circuler sur le dark web. MobiKwik a nié ces allégations. Le 29 mars 2021, un vendeur du forum utilisant le pseudonyme Jordandaven a publié une annonce proposant 8,2 To de données MobiKwik, affirmant qu'elle comprenait une base d'environ 36 millions de fichiers avec les enregistrements Know Your Customer (KYC) d'environ 3,5 millions de personnes.

Le jeu de données annoncé comprenait prétendument noms, numéros de téléphone, adresses e-mail, mots de passe hachés, adresses, documents KYC, images de cartes Aadhaar et données partielles de cartes de paiement. Des chercheurs et journalistes indépendants ont fait correspondre des échantillons avec de véritables utilisateurs MobiKwik, donnant du crédit à l'affirmation.

Le démenti

MobiKwik a réagi non pas en enquêtant publiquement mais en niant toute violation, affirmant être pleinement conforme aux lois sur la sécurité des données et suggérant que les utilisateurs avaient peut-être exposé leurs propres données ailleurs. L'entreprise a également menacé de poursuites le chercheur qui avait donné l'alerte — une réaction largement critiquée par la communauté de la sécurité comme « tirer sur le messager ».

Réponse réglementaire

Le CERT-In indien et la Reserve Bank of India ont ordonné à MobiKwik de commander un audit forensique indépendant.
L'annonce du dark web a ensuite été retirée, laissant l'ampleur exacte non confirmée publiquement.
MobiKwik n'a jamais publié les conclusions de l'audit, et le nombre précis d'utilisateurs affectés reste contesté — les estimations vont des 3,5 millions d'enregistrements KYC revendiqués par le vendeur au chiffre annoncé de jusqu'à 99 millions de comptes.

Pourquoi c'est important

L'épisode MobiKwik est devenu un cas d'école sur la manière de ne pas gérer la divulgation d'une violation. La combinaison d'une vérification crédible par des tiers, d'une intervention réglementaire et d'un démenti d'entreprise a mis en évidence la faille du cadre de responsabilité indien avant la loi DPDP : à l'époque, aucune obligation légale de notification des violations ne contraignait une fintech à confirmer un incident ou à notifier les utilisateurs affectés. Il demeure un exemple fréquemment cité des dommages réputationnels qui suivent un démenti réflexe préféré à la transparence.

Chronologie

26 février 2021

Le chercheur en sécurité Rajshekhar Rajaharia signale pour la première fois que des données MobiKwik semblent disponibles sur le dark web.

4 mars 2021

MobiKwik nie publiquement toute violation, attribuant les allégations à des tentatives de dénigrer l'entreprise.

29 mars 2021

Une annonce sur le dark web propose 8,2 To de données MobiKwik couvrant jusqu'à 99 millions d'utilisateurs, dont des documents KYC et des données de cartes.

30 mars 2021

Des chercheurs et journalistes vérifient des échantillons d'enregistrements auprès d'utilisateurs réels ; MobiKwik nie de nouveau toute violation et menace de poursuites le chercheur.

2 avril 2021

Le CERT-In indien et la RBI ordonnent à MobiKwik de commander un audit forensique indépendant ; l'annonce du dark web est retirée.

Sources

techcrunch.comhttps://techcrunch.com/2021/03/30/mobikwik-investigating-data-breach-after-100m-user-records-found-online/

thehackernews.comhttps://thehackernews.com/2021/03/mobikwik-suffers-major-breach-kyc-data.html

bankinfosecurity.comhttps://www.bankinfosecurity.com/blogs/mobikwik-data-breach-denial-be-nimble-but-so-quick-p-3010

infosecurity-magazine.comhttps://www.infosecurity-magazine.com/news/forensic-audit-of-mobikwik-ordered/

Incidents liés

Fuite de donnéesContenu13 août 2024

Fuite chez Star Health et extorsion d'un haut responsable (Inde, 2024)

Un pirate utilisant l'alias xenZen a exposé les données personnelles et médicales de 31,2 millions de clients de Star Health via des bots Telegram, accompagnées de 5,76 millions de dossiers de sinistres. La fuite a dégénéré en un drame public d'extorsion impliquant un haut responsable de Star Health.

Victim: Star Health and Allied Insurance
Loss: $30.0M
Records: 31.2M

Fuite de donnéesRésolu28 décembre 2021

Fuite de données Carding Mafia (December 2021) (2021)

En décembre 2021, le forum Carding Mafia a subi une fuite de données qui a exposé les adresses e-mail de plus de 300 000 membres. Dédié au vol et au commerce de cartes de crédit volées, la fuite du forum a également exposé des noms d'utilisateur, des adresses IP et des mots de passe stockés sous forme de hachages MD5 salés.

Victim: Carding Mafia (December 2021)
Records: 303.9K

Fuite de donnéesRésolu23 décembre 2021

Fuite de données FlexBooker (2021)

En décembre 2021, le service de réservation en ligne FlexBooker a subi une fuite de données qui a exposé 3,7 millions de comptes. Les données comprenaient des adresses e-mail, des noms, des numéros de téléphone et, pour un petit nombre de comptes, des empreintes de mots de passe et des données partielles de cartes de crédit.

Victim: FlexBooker
Records: 3.8M

Fuite de donnéesRésolu2 novembre 2021

Fuite de données BTC-Alpha (2021)

En novembre 2021, la plateforme d'échange de cryptomonnaies BTC-Alpha a subi une fuite de données consécutive à une attaque par rançongiciel, après quoi les données des clients ont été publiquement divulguées. Les données touchées comprenaient 362 000 adresses e-mail et IP, des noms d'utilisateur et des mots de passe stockés sous forme de hachages PBKDF2.

Victim: BTC-Alpha
Records: 362.4K