“Dave”是目前众多移动银行应用程序中比较成功的成员之一，这些应用程序在传统银行系统之外提供预付现金和其他金融服务。第三方数据泄露暴露了该应用程序的整个用户群，总计约750万人。

这起事件被追溯到分析平台Waydev，Dave过去的合作伙伴。虽然这是一家分析承包商的第三方数据泄露，但此次泄露几乎包括了人们用来建立和维护Dave账户的所有个人信息：全名、电子邮件、出生日期和家庭住址以及加密的社会安全号码和散列密码。

第三方数据泄露突显了金融科技应用程序的潜在风险

Dave于2017年推出，在名人投资者Mark Cuban的大力支持下，Dave迅速蹿红（拥有大量用户）。虽然许多此类应用程序大多关注传统上银行存款不足的市场（问题），但Dave区别于其他应用程序，将透支保护作为核心功能，并且他的申请程序比其他一些公司更加严格——它要求用户通过收入检查，并在批准之前检查申请人的历史。

所有这一切都意味着，Dave的用户相信这个平台能提供比某些预付卡和金融科技应用要求的更多的信息。Dave要求持续访问用户的支票账户，以监视其潜在的透支情况，并与已建立的用户支出模式和余额进行比较，在评估支出有可能超出时提前发出警告。当预计透支时，该应用程序还提供一种发薪日形式的贷款。

虽然细节还不清楚，但第三方数据泄露似乎因Waydev的工程团队有权访问Dave用户的所有个人信息导致的。目前尚不清楚黑客是如何获得未经授权的访问权限的，但Dave的发言人表示，目前安全漏洞已经被关闭。

对于Dave的所有现有用户而言，为时已晚。被窃取的数据都泄露给了黑客论坛RAID，并免费提供给任何已积累足够“论坛积分”来访问它的人。

数据转储的罪魁祸首是一个名为ShinyHunters的组织，该组织在过去一年里参与了多家公司数据的泄露和销售，这些公司包括约会应用程序Zoosk和印刷服务Chatbooks。ShinyHunters通常会将其掌握的违规数据出售；目前尚不清楚他们为何免费透露这种很大程度上有利可图的敏感财务数据。但是，有迹象表明，ShinyHunters可能只是从竞争对手那里购买了这些数据的访问权，然后将其发布以削弱价格。

虽然加密的社会安全号码不太可能被破解，但看起来至少Dave的一些密码可能已经被泄露了。地下论坛上的黑客一直吹嘘要破解至少一部分被盗凭证。虽然使用bcrypt对用户密码进行散列是一个长期以来被普遍认为是安全的行业标准，但考虑到这些密码现在对任何人都是免费的，因此也许威胁行为者最终会将所有这些密码解密。

《安全周刊》（SecurityWeek ）报道称，第三方数据泄露源于Waydev的GitHub应用在7月初的入侵。攻击者可能还访问了Waydev的源代码。因为，Waydev的其他合作伙伴，如测试平台Tricentis Flood，也遭遇了客户个人信息被盗的情况。

第三方数据泄露是一个重要的网络安全问题,许多事例表明这里是威胁参与者的重灾区。

虽然组织无法控制上百个业务伙伴处理客户信息的安全问题，但Gurucul的首席执行官Saryu Nayyar指出，仍然可以采取许多主动措施：“我们面临的挑战是如何让第三方环境或应用程序能够安全的访问我们的系统。通常我们没有什么追索权，只能要求他们（第三方）写下来（以书面形式提出要求），并希望他们履行承诺。但是让外部供应商满足我们的安全需求是非常困难的。因此，我们应通过监控网络连接和网络流量来识别不适当的行为，应用先进的安全分析技术可以帮我们在恶意活动升级为重大破坏之前查明详情。”

布伦达·费拉罗，Aetna前首席信息官和第三方风险副总裁，在谈到安全控制和起草协议，以防止(或至少减轻损害)第三方数据泄露时说：“组织的第三方风险管理项目应该为不再合作的合作伙伴提供严格的离职流程。离职计划的一部分应该包括定制的调查和工作流程，以简化系统访问、数据销毁、最后付款等方面的信息收集工作，确保满足合同网络和数据安全的义务。”

尽管此事件不是关于如何防止或遏制第三方数据泄露的特别新颖或有用的案例研究，但是在一场重大安全事件之后，用户对金融科技应用程序的信任度将会下降。虽然Dave声称用户账户没有未经授权的访问，但基于被攻破的信息，用户无疑会受到网络钓鱼和身份欺诈的攻击，而且他们的社会安全号码也有可能被解除加密。

*本文出自SCA安全通信联盟，转载请注明出处。