一名黑客声称正在出售OTP-generating公司的敏感数据

目录导航

产生OTP的公司拥有一些顶级巨人作为客户，包括Google，Facebook，Amazon，Apple，Microsoft，Signal，Telegram和Twitter等。

黑客似乎正在出售他们声称从OTP产生公司窃取的敏感数据。这家特定的公司在其客户列表中拥有一些最受欢迎的技术和商业巨头，包括Google，Facebook，亚马逊，阿联酋，苹果，微软，Signal，Telegram和Twitter帐户等。

该黑客还声称可以实时访问公司的一次性密码（OTP）系统。但是，InfoSec研究人员在发现此所谓的违规行为背后，认为Rajshekar Rajaharia与黑客不同意。

卖家很长时间以来一直在暗网论坛上活跃，声称要出售对OTP和2FA的实时访问权，但是从我们看到的数据来看，由于发现了一些有关更改的线索，因此数据可能会过时。日期。尽管如此，我们仍在调查中，因为数据似乎是真实存在.

Rajaharia共享了示例数据，该数据证实了一次性代码的存在，尽管它们可能在今天并不可用或仍然有效，但根据平台及其政策，购买者可能会在其中找到重要的工作资料。

除其他信息外，它还提供了50GB的泄露数据。访问价格从最初的18,000美元降至5,000美元。尽管在清单中提到了该公司的名称，但出于安全原因，共享该名称被认为是不道德的。

出售包装中包含的其他数据是个人身份信息（PII），例如SMS日志，手机号码，电子邮件地址，SMPP详细信息，客户文档等。自2017年以来，数据本身就很广泛。

根据最新动态，卖方已将商品信息从暗网市场转移到Telegram，在那里继续进行销售，但买方数量未知。数据包似乎还包括一千万个OTP。

讨论中的公司否认了有关数据泄露的所有说法，并回应说该系统与以往一样安全，并且无法验证所指控数据的真实性。它还向其客户之一印度国家证券交易所（National Stock Exchange of India）发送了一封信，其中指出：

我们想强调的是，关于[compay的名称已撤消]涉嫌数据泄露的未经证实的帖子和声明正在流传。根据我们到目前为止所看到的证据，它不是来自我们当前的任何系统，因此我们无法验证所指控的数据泄露的真实性。

不过，该公司确实提到与第三方专家合作，以帮助他们审核系统，因此，如果那里有一个webshell，则应将其找到并连根拔起。

这不是Rajaharia第一次发现在线上出售敏感数据。实际上，Rajaharia以识别并向有关当局报告重大数据泄露事件而闻名。他先前的一些工作包括报告违规行为，例如：