印度初创公司Juspay处理包括亚马逊在内的在线市场的付款。
Juspay大约五个月前就遭受数据泄露，现在的调查显示，大约有3500万（3500万）Juspay客户受到了影响。
值得注意的是，Juspay属于Hackread.com在1月2日报告的数据泄露报告的26家公司之一。目前，黑客正在出售3.65亿条用户记录，其中还包括Juspay。

Juspay在线转储数据
当时被盗的信息正在暗网上出售。根据安全研究人员Rajshkhar Rajaharia的说法，印度约3500万信用卡持卡人的敏感数据遭到破坏。

研究人员带到Twitter揭示了数据泄露的细节。Rajaharia表示，泄露的数据包括公司存储了付款数据的客户的姓名，银行名称和手机号码。

他还分享了一些转储数据的屏幕截图。

Juspay数据泄露
Juspay在2020年8月18日发现了未经授权的活动。该公司在凌晨被警告。根据Juspay发布的官方声明，该不正常活动在其一个数据存储中被发现。
调查显示，威胁行动者使用了未回收的旧Amazon Web Services访问密钥来访问服务器。由于数据存储的系统资源突然增加，因此触发了自动系统警报。该公司通过终止服务器并密封其入口点立即停止了入侵。当天他们进行了系统审核。
 “在同一天，我们进行了系统审核，以确保防止此类问题的整个类别。该公司表示，我们的商家在当天就收到了网络攻击的通知，我们与他们一起采取了各种预防措施来保护信息。

该公司刷新了API密钥，并使旧密钥无效。其他缓解措施包括对所有工具强制执行2FA身份验证，添加威胁监视 
太少太迟
Juspay采用了延迟的方法，该公司一直在试图淡化这一事件。违规与其公开披露之间的时间间隔肯定对网络安全界来说是个问题。
Juspay虽然已通知其合作伙伴，但直到Rajaharia发现数据转储后才向公众披露该漏洞的细节。Gurucul的首席执行官Saryu Nayyar表示，Juspay的安全堆栈可能存在许多漏洞。
 “也许最大的担忧是停留时间。该漏洞发生在2020年8月中旬，直到现在才被报道，这表明Juspay的安全堆栈或其安全操作流程可能存在一些漏洞。”

Juspay在其声明中表示，攻击者没有访问敏感数据，并且破坏了3500万条包含非敏感信息的记录，例如“蒙面卡数据和卡指纹”。
 “屏蔽的卡数据用于在商人UI上显示，而不能用于完成交易。”
Juspay承认，某些泄露的记录中包含纯文本，非匿名电子邮件和联系电话。它还具有约1亿个已处理交易的匿名元数据。它的子集包含移动和电子邮件信息。 
“所有客户的完整卡号，订单信息，卡PIN或密码都是安全的。泄露的数据不包含任何交易或订单信息。大约有3500万条带有被屏蔽的卡数据和卡指纹（不敏感信息）的记录被破坏了……我们系统中的一部分用户元数据遭到非匿名的纯文本电子邮件ID和电话号码的破坏。”
关于Juspay？
Juspay是印度班加罗尔的一家初创公司，负责处理众多数字市场的付款，例如亚马逊，Yatra，Swiggy，Freecharge，MakeMyTrip，BookMyShow和Snapdeal。该公司为印度领先的在线零售商提供支付交易服务，每天管理超过65万笔交易。

（来源：HackRead）