モビクイックは火曜日、インドのモバイル決済スタートアップ企業のユーザー約1億人の個人情報が漏洩したと主張するウェブサイトがあったことを受けて、データ漏洩の申し立てを調査中であると発表した。
先週末、ダークウェブ上のサイトが、8.2テラバイトのMobiKwikユーザーデータを保有していると主張しました。データには、電話番号、メールアドレス、暗号化されたパスワード、取引ログ、クレジットカード番号の一部が含まれていました。
このウェブサイトはまた、350万人のユーザー分の「顧客確認(KYC)」文書(政府発行のアーダールカードまたはPAN ID)を保有していると主張し、ウェブサイトにアクセスするたびにデータダンプからランダムに4枚の画像が表示されました。インドでは、特定のサービスに制限なくアクセスしたいユーザーにはKYC文書の提出が義務付けられています。例えば、インドの法律では、モバイルウォレット企業は月間取引額が一定額を超える場合のサポートが義務付けられています。
ダークウェブサイトには検索可能なデータベースがあり、ユーザーは電話番号やメールアドレスを検索することで、データ漏洩の主張の信憑性を検証できます。TechCrunchは、いくつかのケースでデータの正確性を確認することができました。
有名なサイバー犯罪フォーラムの販売者は、データベースへのアクセスを1.2ビットコイン(約7万ドル)で販売していると主張している。
セコイア・キャピタル・インディアの支援を受けるこのスタートアップは、データが実際にMobiKwikユーザーのものであるかどうかはまだ証明できないと述べている。「ダークウェブ上で入手可能なデータがMobiKwikあるいは何らかの特定された情報源からアクセスされたと主張するのは誤りです」と、このスタートアップはブログ投稿で述べている。
セキュリティ研究者のRajshekhar Rajaharia氏は、TechCrunchに対し、先月MobiKwikにこのセキュリティ侵害疑惑について警告したと語った。MobiKwikは声明の中で、徹底的な調査を実施した結果、侵害の証拠は見つからなかったと述べた。
テッククランチイベント
サンフランシスコ | 2025年10月27日~29日
データ侵害への対応方法
しかし、TechCrunchに流出したスクリーンショットには、MobiKwikの役員が先月Amazonの担当者に同社のクラウドサービスに関するログを要求している様子が写っている。これは同社が「当社のS3(クラウドストレージ)のデータが社外の何者かによってダウンロードされていることを知った」後のことだ。
同社は、法務チームが「いわゆるセキュリティ研究者に対して厳正な措置を取る」と述べた。ラジャハリア氏はTechCrunchに対し、自身の金融データが安全かどうかを知ることはユーザーとしての権利であり、法廷闘争を行うだけのリソースはないと付け加えた。
モビクイックは、当局と緊密に連携しており、機密データを保管するためのセキュリティプロトコルは「堅牢であり、侵害されていない」と確信していると述べた。また、第三者機関にフォレンジックデータセキュリティ監査を実施させていると付け加えた。「当社は、安全で安心なデジタル・インディアの実現に尽力しています。」
トピック
マニッシュ・シンはTechCrunchのシニアレポーターで、インドのスタートアップシーンとベンチャーキャピタル投資を取材しています。また、世界的なテクノロジー企業のインドでの活動についてもレポートしています。2019年にTechCrunchに入社する前は、CNBCやVentureBeatなど、12以上のメディアに寄稿していました。2015年にコンピュータサイエンスとエンジニアリングの学位を取得しています。連絡先はmanish(at)techcrunch(dot)comです。
バイオを見る
