Μια παραβίαση δεδομένων στη διεπαφή Εφαρμογής Bharat για χρήματα που εκτίθενται σε χρήματα Εκατομμύρια δεδομένα Ινδιάνων
Χθες, η Εθνική Εταιρεία Πληρωμών της Ινδίας (NPCI) εξέδωσε μια από τις πιο ασαφείς δηλώσεις μέσων που έχουμε δει ποτέ. Έχει ακριβώς τρεις προτάσεις. Το πρώτο δηλώνει ότι η ομάδα της NPCI έχει δει ειδήσεις για παραβίαση δεδομένων στην εφαρμογή για κινητά Bharat Interface for Money (BHIM). Η δεύτερη πρόταση αναφέρει ότι «δεν υπήρξε συμβιβασμός δεδομένων στην εφαρμογή BHIM [sic]» και παροτρύνει τους ανθρώπους να αποφύγουν να πέσουν θύματα τέτοιων «εικαστικών». Περιέργως, το tweet που συνοδεύει τη δήλωση αντικαθιστά τη λέξη «εικασίες» με «παραπληροφόρηση». Η τρίτη και τελευταία πρόταση είναι μια γενική δήλωση σχετικά με το πώς το NPCI λαμβάνει πολύ σοβαρά την ασφάλεια.
Στην πραγματικότητα δεν υπάρχουν πολλές πραγματικές πληροφορίες στην ανακοίνωση του NPCI, πράγμα που σήμαινε ότι έπρεπε να σκάψουμε λίγο περισσότερο για να μάθουμε τι συμβαίνει.
Table of Contents
Ένας μη προστατευμένος κάδος S3 εξέθεσε τα δεδομένα εκατομμυρίων Ινδών χρηστών
Το μη ενημερωτικό δελτίο τύπου της NPCI προκλήθηκε από μια έκθεση που δημοσιεύθηκε από την ομάδα ερευνητών του VPNMentor. Όσοι από εσάς παρακολουθείτε ειδήσεις σχετικά με την ασφάλεια στον κυβερνοχώρο γνωρίζετε πολύ καλά ότι αυτό το συγκεκριμένο πλήρωμα διευθύνεται από τους Noam Rotem και Ran Locar, οι οποίοι ειδικεύονται στην εύρεση εσφαλμένων ρυθμίσεων και κακώς προστατευμένων βάσεων δεδομένων που εκθέτουν τα ανυποψίαστα προσωπικά δεδομένα των χρηστών. Μπορείτε πιθανώς να μαντέψετε πού πηγαίνει αυτό.
Στις 23 Απριλίου, ανακάλυψαν έναν κακώς διαμορφωμένο κάδο AWS S3 που είχε 409 GB δεδομένων. Η βάση δεδομένων δεν προστατεύεται από κωδικό πρόσβασης, περιείχε περίπου 7,26 εκατομμύρια αρχεία και μια σύντομη έρευνα αποκάλυψε ότι ο ιδιοκτήτης της ήταν η CSC e-Governance Services LTD, ο προγραμματιστής του ιστότοπου που ήταν αφιερωμένος στην εφαρμογή Bharat Interface for Money. Τα αρχεία χρονολογούνται από τον Φεβρουάριο του 2019 και προφανώς αποθηκεύτηκαν κατά τη διάρκεια μιας εκστρατείας με στόχο την αύξηση της δημοτικότητας του BHIM.
Το Bharat Interface for Money είναι μια εφαρμογή πληρωμής για κινητά και είναι φυσιολογικό να περιμένουμε ότι οι βάσεις δεδομένων της είναι γεμάτες από ευαίσθητα προσωπικά στοιχεία. Ακόμα και οι ερευνητές ήταν λίγο έκπληκτοι από αυτό που βρήκαν στον προστατευμένο κάδο.
Τα εκτεθειμένα δεδομένα ήταν πολύ ευαίσθητα
Εκτός από προσωπικά δεδομένα όπως ονόματα, ημερομηνίες γέννησης, ηλικία, πληροφορίες φύλου και στοιχεία επικοινωνίας, ο κάδος S3 με κακή διαμόρφωση περιείχε επίσης οτιδήποτε, από βιομετρικά δεδομένα έως σάρωση καρτών Aadhaar, πιστοποιητικά κάστας και κάρτες μόνιμου αριθμού λογαριασμού (PAN). Όπως επεσήμαναν οι ερευνητές του VPNMentor, αυτό είναι το είδος των πληροφοριών που μπορεί να βρείτε αν είστε χάκερ και διακυβεύετε τα συστήματα backend μιας τράπεζας, το οποίο δείχνει πόσο σοβαρή ήταν η διαρροή. Ωστόσο, υπήρχαν περισσότερα.
Ο κάδος S3 περιείχε επίσης λίστες CVS εμπόρων που είχαν εγγραφεί στην εφαρμογή και υπήρχε ένα αρχείο APK, το οποίο προφανώς είχε μερικά ζεύγη κλειδιών AWS. Για να παραμείνουν στη δεξιά πλευρά του νόμου, οι ειδικοί δεν τους χρησιμοποίησαν, αλλά εικάζουν ότι εάν είναι έγκυροι, θα επέτρεπαν στους εγκληματίες του κυβερνοχώρου να χρησιμοποιούν την υποδομή cloud της BHIM για κάθε είδους κακόβουλες επιχειρήσεις.
Ο χειρισμός της παραβίασης από την NPCI είναι τρομακτική
Πιθανότατα έχετε εξαγάγει τα συμπεράσματά σας από το χθεσινό δελτίο τύπου, αλλά προτού διαμορφώσετε την τελική σας γνώμη για το πώς τα χειρίστηκαν οι υπεύθυνοι για τη διαρροή, πρέπει να έχετε κατά νου μερικά ακόμη πράγματα.
Οι ερευνητές του VPNMentor επικοινώνησαν με τις Υπηρεσίες Ηλεκτρονικής Διακυβέρνησης CSC αμέσως μετά την ανακάλυψη της διαρροής κουβά, αλλά δεν έλαβαν καμία απάντηση. Πέντε ημέρες αργότερα, στις 28 Απριλίου, ήρθαν σε επαφή με την ομάδα αντιμετώπισης καταστάσεων έκτακτης ανάγκης της Ινδίας (CERT) και ζήτησαν περαιτέρω βοήθεια. Το CERT απάντησε την επόμενη ημέρα, αλλά η βάση δεδομένων παρέμεινε συνδεδεμένη. Στις 5 Μαΐου, οι ειδικοί προσπάθησαν για άλλη μια φορά να ενημερώσουν τους προγραμματιστές, αλλά το σήμα τους έπεσε για δεύτερη φορά στα κωφά αυτιά. Δυόμισι εβδομάδες αργότερα, οι ερευνητές ειδοποίησαν ξανά το CERT και ο κάδος S3 λήφθηκε τελικά εκτός σύνδεσης στις 22 Μαΐου.
Καθυστέρηση της αντίδρασης στην άκρη, πρέπει επίσης να πούμε ότι η διαρροή δεν θα έπρεπε να είχε συμβεί πρώτα. Ο χειρισμός τόσο ευαίσθητων πληροφοριών αποτελεί τεράστια ευθύνη και είναι δύσκολο να βρείτε δικαιολογίες για απλά λάθη διαμόρφωσης, όπως η τοποθέτηση όλων των δεδομένων σε έναν δημόσιο κάδο S3 που δεν προστατεύεται από κανένα είδος ελέγχου ταυτότητας. Αυτό που είναι ακόμα πιο ανησυχητικό, ωστόσο, είναι η προσπάθεια υποβάθμισης του ζητήματος.
Είναι πάντα απογοητευτικό να βλέπουμε προμηθευτές και προγραμματιστές να αγνοούν τις ειδοποιήσεις παραβίασης δεδομένων, αλλά σε αυτήν την περίπτωση, το πρόβλημα είναι μεγαλύτερο επειδή εκατομμύρια χρήστες διατρέχουν σοβαρό κίνδυνο κλοπής ταυτότητας. Αντί να βοηθά τους επηρεαζόμενους χρήστες στην κρίση, ωστόσο, το NPCI προσπαθεί να προσποιείται ότι δεν έχει συμβεί τίποτα και κατηγορεί τις ειδήσεις ότι διαδίδουν "παραπληροφόρηση" και "εικασίες". Αυτό θα μπορούσε κάλλιστα να είναι ένας οδηγός για το πώς να μην χειριστεί ένα περιστατικό ασφάλειας δεδομένων.