Et dataovertrædelse ved betalingsapp Bharat-interface for penge, der er udsat for millioner af indianeres data
I går udsendte National Payments Corporation of India (NPCI) , hvad der skal være en af de mest uklare medieerklæringer, vi nogensinde har set. Det er netop tre sætninger lange. Den første oplyser, at NPCIs team har set nyhedsrapporter om en dataforbrud ved Bharat Interface for Money (BHIM) mobilapplikation. Anden sætning siger, at 'der ikke har været noget datakompromis i BHIM App [sic]' og opfordrer folk til at undgå at falde bytte for sådanne 'spekulationer'. Mærkeligt nok erstatter tweeten, der ledsager udsagnet, ordet 'spekulationer' med 'forkert information'. Den tredje og sidste sætning er en generisk erklæring om, hvordan NPCI tager sikkerhed meget alvorligt.
Der er virkelig ikke meget faktisk information i NPCIs meddelelse, hvilket betød, at vi var nødt til at grave lidt længere for at finde ud af, hvad der foregår.
Table of Contents
En ubeskyttet S3-spand udsatte data fra millioner af indiske brugere
NPCIs uinformative pressemeddelelse blev provokeret af en rapport offentliggjort af VPNMentors forskerteam. De af jer, der følger nyheder om cybersikkerhed, ved godt, at netop denne besætning ledes af Noam Rotem og Ran Locar, der er specialiserede i at finde forkert konfigurerede og dårligt beskyttede databaser, der afslører intetanende brugernes personlige data. Du kan sandsynligvis gætte, hvor dette går hen.
Den 23. april opdagede de en dårligt konfigureret AWS S3-spand, der indeholdt 409 GB data. Databasen var ikke beskyttet af en adgangskode, den indeholdt omkring 7,26 millioner poster, og en kort undersøgelse afslørede, at dens ejer var CSC e-Governance Services LTD, udvikleren af webstedet dedikeret til applikationen Bharat Interface for Money. Optegnelserne blev dateret tilbage til februar 2019 og blev tilsyneladende gemt under en kampagne med det formål at øge BHIMs popularitet.
Bharat Interface for Money er en mobil betalingsapp, og det er kun normalt at forvente, at dens databaser er fulde af følsomme personlige oplysninger. Selv forskerne var dog lidt overrasket over, hvad de fandt i den ubeskyttede spand.
De eksponerede data var meget følsomme
Ud over personlige data som navne, fødselsdato, alder, kønsoplysninger og kontaktoplysninger indeholdt den dårligt konfigurerede S3-spand også alt fra biometriske data til scanninger af Aadhaar-kort, kastecertifikater og Permanent kontonummer (PAN) -kort. Som VPNMentors forskere påpegede, er dette den slags information, du måske finder, hvis du er en hacker, og du går på kompromis med en banks backend-systemer, der viser, hvor alvorlig lækagen var. Der var dog mere.
S3-spanden indeholdt også CVS-lister over købmænd, der havde tilmeldt sig appen, og der var en APK-fil, som tilsyneladende indeholdt nogle AWS-nøglepar. For at forblive på højre side af loven brugte eksperterne dem ikke, men de spekulerede i, at hvis de er gyldige, ville de have givet cyberkriminelle mulighed for at bruge BHIMs skyinfrastruktur til alle mulige ondsindede handlinger.
NPCIs håndtering af overtrædelsen er rystende
Du har sandsynligvis trukket dine konklusioner fra gårsdagens pressemeddelelse, men inden du danner din endelige mening om, hvordan de personer, der er ansvarlige for lækagen, håndterede den, skal du huske et par ting mere.
VPNMentors forskere nåede ud til CSC e-Governance Services umiddelbart efter at have opdaget den utæt skovl, men de modtog intet svar. Fem dage senere, den 28. april, kom de i kontakt med Indiens Computer Emergency Response Team (CERT) og bad om yderligere hjælp. CERT svarede den følgende dag, men databasen forblev online. Den 5. maj forsøgte eksperterne endnu en gang at informere udviklerne, men deres signal faldt på døve ører for anden gang. To og en halv uge senere advarede forskerne CERT igen, og S3-spanden blev endelig taget offline den 22. maj.
Forsinket reaktion til side, må vi også sige, at lækagen ikke burde have fundet sted i første omgang. Håndtering af meget følsomme oplysninger er et enormt ansvar, og det er vanskeligt at finde undskyldninger for enkle konfigurationsfejl som at lægge alle data i en offentlig S3-spand, der ikke er beskyttet af nogen form for godkendelse. Det, der dog er endnu mere bekymrende, er forsøget på at nedtone problemet.
Det er altid skuffende at se leverandører og udviklere ignorere advarsler om dataovertrædelse, men i dette tilfælde er problemet større, fordi millioner af brugere udsættes for en alvorlig risiko for identitetstyveri. I stedet for at hjælpe berørte brugere gennem krisen, prøver NPCI imidlertid at foregive, at der ikke er sket noget, og beskylder nyhedsrapporter for at sprede "forkert information" og "spekulationer". Dette kan meget vel være en guide til, hvordan man ikke håndterer en datasikkerhedshændelse.
