国际征信观察| 益博睿南非数据泄漏跟踪(7):事件的发酵—征信数据出现在互联网上,乃至暗网

2020年9月13日  Graeme Hosken高级记者  海外征信小组翻译

事件发酵征信数据已经流转到暗网?

南非信息监管机构在2020年9月3日晚上宣布,一个“举报者”已经确认信息“已经找到通往暗网的途径”。声明写道:“举报人已告知监管机构,暗网中托管的自然人信息包括其手机号码,家庭和工作电话号码,就业详细信息和身份证号码。公司的个人信息包括公司名称,联系方式,增值税号和银行详细信息。“

监管机构对于从举报人那里收到的信息感到非常不安,特别是因为在上周与益博睿(Experian)举行的会议期间,其首席执行官费迪·皮特瑟斯先生向监管机构保证,益博睿已获得安东·皮勒(Anton Piller)的指令并进行了管理执行相应的命令,以确保数据主体的个人信息得到适当保护。”

监管机构表示,已将举报人提供的信息告知了益博睿。益博睿回答如下:“我可以确认我们已经在互联网上找到了文件,并且目前正在对文件进行分析,以确定是否完全匹配。但是,我们的初步调查表明,可以合理地认为是向欺诈者发布了这些文件,并且我们为此发布了公共通知。”

在同一回应中,益博睿表示他们正在努力从互联网上删除文件并进行进一步调查。监管机构进一步获悉该站点托管在瑞士。

当天晚些时候,监管机构收到了益博睿的进一步来信,其中证实他们已验证互联网上的文件是盗用数据。据报道,这些文件已从站点中删除,益博睿正在进行进一步调查。

“昨晚(2020年9月2日),监管机构收到了益博睿的另一封信函,确认数据不是在暗网上,而是放置在互联网上的第三方数据共享站点上,并且第三方已禁用链接,。

信息监管机构表示,尽管它对调查和益博睿的迅速回应感到满意,但仍然感到关切的是,“数据主体的个人信息仍然很脆弱,益博睿似乎正努力确保对数百万南非个人信息的保护”。

由于泄露的程度,监管机构表示已决定进行独立审查,“以评估数据泄露的程度,并探索合适的解决方案,以确保由益博睿传播的所有个人信息得到适当的保护。”

益博睿(Experian)9月2号表示,在发生数据泄露事件后,它已经识别了互联网上的文件,并认为其中包含其数据。该公司在一份声明中说:“我们将继续调查这些文件,并会采取所有可能的步骤,以减少进一步的传播。我们可以确认上周在南非提起了刑事诉讼,此事现在交由执法部门处理。”

事件的真相

今年早些时候在南非发生的最大数据泄露事件中,数百万南非人的个人数据被盗窃,尽管已经采取了措施,但还是在互联网上搜索到这些数据。未能及时地找回数据和解决泄漏问题将使2400万人和将近80万家企业可能遭受在线欺诈。

    征信业巨头益博睿拥有的信息包括消费者手机号、身份证ID号、地址、银行和工作详细信息以及电子邮件地址等数据。在瑞士注册的数据传输(Data Transfer)网站“WeSendit”上发现了该数据的转储,促使人们争先恐后地想堵住这个数据漏洞,并找出盗窃者和事件负责人。

消费者保护律师特鲁迪·布罗克曼(Trudie Broekmann)认为人们应该会感到恐惧:“征信局搜集​​了您的收入、资产、职业经历包括解雇原因、您开设或进行借贷的每个帐户、每月分期付款、付款历史记录,对您的每项违约判决、您的家庭关系以及地址和联系方式。”

南非优先犯罪调查局(HAWKS)[1]正在调查的数据黑客问题尚未解决的新闻引发了本周南非当局试图阻止信息交易的混乱局面。

南非信息监管机构主席潘西·特拉库拉(Pansy Tlakula)周一表示,已任命一名独立的网络法医调查员来审查益博睿进行的内部调查,将涉及到瑞士联邦数据保护和信息专员。特拉库拉说:“我们的调查将围绕益博睿的所有内容。我们绝对不会放任自流。”

“这是数据泄漏事件涉及个人信息的跨境流动。这是不可接受的。数百万公民和企业的个人信息在互联网上,没有适当的控制。”

特拉库拉说,上传到WeSendit上的文件包含2400万人和近800,000家企业的详细信息,其中包括“ 24,838家企业的银行详细信息”。她说:“我们正在努力确认个人的银行业务资料是否也受到损害。”

瑞士数据传输网站WeSendit

一位匿名举报人的举报使特拉库拉事件朝向负面的新化(即这批数据可能出现在暗网)

特拉库拉说:“ 益博睿保证将找回所有数据。这是在他们获得法院命令并从他们认为对违反行为负责的人手中扣押了电子设备之后,”。

 “在做出保证后不久,益博睿外部的举报者就针对WeSendit网站传输的数据向我们发出警报。我们上周五对益博睿进行了质询。他们确认这是他们的数据。”

WeSendit网站首席执行官詹斯·赫布斯特(Jens Herbst)通过征询意见,承认南非的信息已上传到公司的系统中。他说:“我们非常遗憾我们的平台被滥用来发送这些受保护的数据。”

赫布斯特在一封电子邮件中说,出于数据保护的原因,该公司无法访问或了解其“加密发送”的客户数据。

他指责“俄罗斯攻击者”使用该服务上传和传输南非数据。“我们已经确定攻击者来自俄罗斯,并已通过代理服务器发送了数据。攻击者不再可能通过我们的平台发送数据。WeSendit也受到了攻击。我们的安全措施意识到了这一点,并将俄罗斯排除在外,以防止[此数据传输]的非法扩散。”

当被问及是否与信息监管机构或南非优先犯罪调查局合作时,赫伯斯特表示,WeSendit不与任何政府或当局合作。他说无法透露何时上传或访问数据,因为“作为瑞士供应商,我们不得不从服务器上删除所有数据和记录”。

重点转移营销数据服务商

2020年八月份,数据泄露调查的重点转移到了数据营销商人卡若波·丰古拉(Karabo Phungula)身上,益博睿称丰古拉是泄漏的嫌疑人,他否认有任何参与。丰古拉是约翰内斯堡数据营销公司Hi-Pixel Communications的主管。警官,网络法医调查人员和益博睿官员于8月18日对其在Soweto的住所进行了搜查。

丰古拉告诉《星期日泰晤士报》说:“我被没收了用来取数据的两部手机和电脑。益博睿说他们删除了信息,但是没有证据说明为什么要删除。”

丰古拉说,他没有受到警察的讯问。他说几个月前他的家被盗,他的笔记本电脑被盗。他声称自己是在2017年与征信局康普斯坦(Compuscan)达成560万卢比的交易后陷入困境的,该交易是将识别码上传到其系统上。益博睿于2019年9月收购了康普斯坦。丰古拉说他不知道WeSendit这个网站。他说,他的业务涉及为包括保险公司在内的公司创造潜在的销售机会。

数字取证调查员克雷格·佩德森(Craig Pedersen)说,被盗的数据非常有价值,不仅因为它包含电话和身份证号码,而且还因为银行的详细信息。“身份号码通常每位用户的价格为15美分。加上银行号码,黑市上的用户每条记录最多要支付$ 1.50 美元[25兰特]。这些数据记录可能价值数百万兰特。影响将是巨大的,因为数据永远不会在黑市上被一次性购买过。它被多次出售。就价而言,可能是南非的最大数据漏洞。很有价,因您可以用它来做,例如款和开线零售帐户。”

Wolfpack Information Risk主管克雷格·罗斯瓦恩(Craig Rosewarne)表示:“查看Stats SA的人口数据,这种数据泄漏很容易意味着将近90%的成年人劳动人口的数据被盗。”

关于丰古拉所面临的指控,益博睿发言人米歇尔克雷格·佩德森 萨姆拉吉(Michelle Samraj)表示:“重要的是,[丰古拉]并不反对[命令]的使用,如果他认为该命令被错误地授予,他有权利反对。”

她说,益博睿的系统尚未遭到黑客入侵,并且“与声称代表合法公司的欺诈者错误地共享了数据”。关于泄漏的数据,她说:“并非文件中的所有数据都是益博睿提供的。”萨姆拉吉说,益博睿在跟进客户未清发票时发现了泄漏。

“ 益博睿已进入恢复程序,进行了进一步检查,并确定该交易是欺诈性的。”

她说,删除了在丰古拉的设备上找到的数据匹配关键字。经过进一步调查,他们在互联网上找到了具有与盗窃有关的益博睿数据的文件。

“这些文件包含提供给欺诈者的相同数据……这些文件无法再访问……这些数据不提供出售。”萨姆拉吉说,他们在八月份宣布恢复数据是“出于善意”。

她确认,益博睿从未与丰古拉打交道。“ 益博睿在2019年收购了康普斯坦(Compuscan),该公司在2017年与犯罪者建立了一次性的客户关系。”她确认发生了争执。

“根据法律规定,康普斯坦(Compuscan)和益博睿均未对丰古拉提起诉讼。”南非优先犯罪调查局(HAWKS)发言人布里格·汉格瓦尼·穆劳兹(Brig Hangwani Mulaudzi)说,严重的商业犯罪和网络犯罪部门正在调查中。

南非银行业风险信息中心首席执行官尼沙尔·梅瓦勒(Nischal Mewalall)上个月表示,银行正在努力确定哪些客户可能遭受了数据泄漏并保护其数据。

PCCM评论

  • 大规模个人(和商业)数据泄漏事件的后果很严重,将会造成大量的在线欺诈,给相关的消费者和企业带来巨额的损失和伤害,特别是流传到暗网,信息安全机构和警方也无能为力。
  • 这次数据泄漏事件的数据从物理上来说跨境了,但是在互联网空间似乎并无感觉,数据出现在与南非物理距离很遥远的瑞士的数据传输网站上。
  • 该事件背景比较复杂,涉及益博睿南非2019年收购的征信机构康普斯坦(Compuscan)在2017年的数据营销交易,该交易商卡若波·丰古拉(Karabo Phungula)的业务涉及为包括保险公司在内的公司创造潜在的销售机会。卡若波·丰古拉(Karabo Phungula)是约翰内斯堡数据营销公司Hi-Pixel Communications的主管,他声称他家几个月前被盗,包括笔记本电脑,导致这些数据被窃。

注:南非个人征信局构康普斯坦(Compuscan)

Compuscan是南非征信局,负责在南非和其他非洲国家/地区提供消费者和商业信贷信息。成立于1994年,总部位于南非的斯泰伦博斯,是位于南非的Compuscan Information Technologies的子公司。该公司最初专注于提供小额信贷交易的信用历史报告,是南非领先的征信机构之一,并且是该国征信机构协会的成员。该公司还在博茨瓦纳和纳米比亚等邻近共和国提供小额信贷报告服务。2006年,Compuscan被乌干达银行选中,建立了有史以来第一个乌干达征信局。 该系统于2008年正式推出,要求乌干达金融机构向其借款人发行智能卡,作为借款人识别程序的一部分。

在南非,根据国家信用法案(NCA),Compuscan是注册的征信局。 根据NCA,南非的所有征信机构每年都要向南非公民提供一份免费的信用报告。该公司还向信贷和金融行业的企业推广征信局服务;以及针对其他各个行业的培训服务、营销服务、分析咨询以及忠诚度和回馈产品服务。

参考文献:

https://www.timeslive.co.za/news/south-africa/2020-09-03-south-africans-personal-data-dumped-on-the-dark-web

https://www.timeslive.co.za/sunday-times/news/2020-09-13-data-from-huge-experian-breach-found-on-the-internet/


[1] HAWKS是南非优先犯罪调查局(DPCI),其目标是南非原总统祖马设立的南非警察局(SAPS)中针对有组织犯罪,经济犯罪,腐败和其他严重犯罪。在2008年获得行政管理。DPCI取代了独立于SAPS结构的Scorpions。

欢迎转载:请注明“PCCM-国际征信观察”

发表评论

电子邮件地址不会被公开。 必填项已用*标注