Ein Datenverstoß bei der Zahlungs-App Bharat-Schnittstelle für Geld enthüllte Millionen von Inderdaten
Gestern hat die National Payments Corporation of India (NPCI) eine der unklarsten Medienerklärungen veröffentlicht, die wir je gesehen haben. Es ist genau drei Sätze lang. Der erste besagt, dass das NPCI-Team Nachrichten über einen Datenverstoß in der mobilen Anwendung Bharat Interface for Money (BHIM) gesehen hat. Der zweite Satz besagt, dass es bei BHIM App [sic] keinen Datenkompromiss gegeben hat, und fordert die Menschen nachdrücklich auf, solchen „Spekulationen“ nicht zum Opfer zu fallen. Seltsamerweise ersetzt der der Aussage beigefügte Tweet das Wort "Spekulationen" durch "Fehlinformationen". Der dritte und letzte Satz ist eine allgemeine Aussage darüber, wie NPCI Sicherheit sehr ernst nimmt.
Die Ankündigung von NPCI enthält wirklich nicht viele aktuelle Informationen, was bedeutete, dass wir etwas weiter graben mussten, um herauszufinden, was los ist.
Table of Contents
Ein ungeschützter S3-Bucket enthüllte die Daten von Millionen indischer Benutzer
Die nicht informative Pressemitteilung von NPCI wurde durch einen Bericht provoziert, der vom Forscherteam von VPNMentor veröffentlicht wurde. Diejenigen unter Ihnen, die die Nachrichten zur Cybersicherheit genau verfolgen, wissen genau, dass diese spezielle Crew von Noam Rotem und Ran Locar geführt wird, die sich darauf spezialisiert haben, falsch konfigurierte und schlecht geschützte Datenbanken zu finden, die die persönlichen Daten ahnungsloser Benutzer offenlegen. Sie können wahrscheinlich erraten, wohin das führt.
Am 23. April entdeckten sie einen schlecht konfigurierten AWS S3-Bucket mit 409 GB Daten. Die Datenbank war nicht durch ein Passwort geschützt, sondern enthielt rund 7,26 Millionen Datensätze. Eine kurze Untersuchung ergab, dass der Eigentümer CSC e-Governance Services LTD war, der Entwickler der Website für die Anwendung Bharat Interface for Money. Die Aufzeichnungen stammen aus dem Februar 2019 und wurden offenbar während einer Kampagne zur Steigerung der Popularität von BHIM gespeichert.
Bharat Interface for Money ist eine mobile Zahlungs-App, und es ist nur normal zu erwarten, dass die Datenbanken voller vertraulicher persönlicher Informationen sind. Sogar die Forscher waren etwas überrascht von dem, was sie in dem ungeschützten Eimer fanden.
Die exponierten Daten waren hochsensibel
Neben persönlichen Daten wie Namen, Geburtsdatum, Alter, Geschlechtsinformationen und Kontaktdaten enthielt der schlecht konfigurierte S3-Bucket auch biometrische Daten, Scans von Aadhaar-Karten, Kastenzertifikaten und PAN-Karten (Permanent Account Number). Wie die Forscher von VPNMentor betonten, sind dies die Informationen, die Sie möglicherweise finden, wenn Sie ein Hacker sind und die Backend-Systeme einer Bank gefährden. Dies zeigt, wie schwerwiegend das Leck war. Es gab jedoch noch mehr.
Der S3-Bucket enthielt auch CVS-Listen von Händlern, die sich für die App angemeldet hatten, und es gab eine APK-Datei, die anscheinend einige AWS-Schlüsselpaare enthielt. Um auf der rechten Seite des Gesetzes zu bleiben, haben die Experten sie nicht verwendet, aber sie spekulierten, dass sie Cyberkriminellen erlaubt hätten, die Cloud-Infrastruktur von BHIM für alle Arten von böswilligen Vorgängen zu verwenden, wenn sie gültig wären.
Der Umgang von NPCI mit dem Verstoß ist entsetzlich
Sie haben wahrscheinlich Ihre Schlussfolgerungen aus der gestrigen Pressemitteilung gezogen, aber bevor Sie sich eine endgültige Meinung darüber bilden, wie die für das Leck verantwortlichen Personen damit umgegangen sind, müssen Sie noch einige Dinge berücksichtigen.
Die Forscher von VPNMentor haben sich unmittelbar nach der Entdeckung des undichten Eimers an CSC e-Governance Services gewandt, aber keine Antwort erhalten. Fünf Tage später, am 28. April, nahmen sie Kontakt mit dem indischen Computer Emergency Response Team (CERT) auf und baten um weitere Unterstützung. CERT antwortete am folgenden Tag, aber die Datenbank blieb online. Am 5. Mai versuchten die Experten erneut, die Entwickler zu informieren, doch ihr Signal stieß zum zweiten Mal auf taube Ohren. Zweieinhalb Wochen später alarmierten die Forscher CERT erneut, und der S3-Eimer wurde am 22. Mai endgültig offline geschaltet.
Abgesehen von der verzögerten Reaktion müssen wir auch sagen, dass das Leck überhaupt nicht hätte passieren dürfen. Der Umgang mit so vielen vertraulichen Informationen ist eine enorme Verantwortung, und es ist schwierig, Entschuldigungen für einfache Konfigurationsfehler zu finden, z. B. das Speichern aller Daten in einem öffentlichen S3-Bucket, der durch keinerlei Authentifizierung geschützt ist. Noch besorgniserregender ist jedoch der Versuch, das Problem herunterzuspielen.
Es ist immer enttäuschend zu sehen, dass Anbieter und Entwickler Warnungen vor Datenverletzungen ignorieren. In diesem Fall ist das Problem jedoch größer, da Millionen von Benutzern einem ernsthaften Risiko eines Identitätsdiebstahls ausgesetzt sind. Anstatt den betroffenen Nutzern durch die Krise zu helfen, versucht die NPCI vorzutäuschen, dass nichts passiert ist, und beschuldigt Nachrichtenberichte, "Fehlinformationen" und "Spekulationen" verbreitet zu haben. Dies könnte sehr gut eine Anleitung sein, wie man einen Datensicherheitsvorfall nicht behandelt.
