Una violación de datos en la aplicación de pago Interfaz Bharat para el dinero expuesto millones de datos de indios

Bharat Interface for Money Data Breach

Ayer, la Corporación Nacional de Pagos de la India (NPCI, por sus siglas en inglés) emitió lo que debe ser una de las declaraciones de los medios más confusas que hemos visto. Tiene precisamente tres oraciones de largo. El primero indica que el equipo de NPCI ha visto informes de noticias de una violación de datos en la aplicación móvil Bharat Interface for Money (BHIM). La segunda oración dice que "no ha habido compromiso de datos en la aplicación BHIM [sic]" e insta a las personas a evitar ser víctimas de tales "especulaciones". Curiosamente, el tweet que acompaña a la declaración reemplaza la palabra 'especulaciones' por 'información errónea'. La tercera y última oración es una declaración genérica sobre cómo NPCI toma muy en serio la seguridad.

Realmente no hay mucha información real en el anuncio de NPCI, lo que significa que tuvimos que investigar un poco más para descubrir qué está pasando.

Un cubo S3 desprotegido expuso los datos de millones de usuarios indios

El comunicado de prensa no informativo de NPCI fue provocado por un informe publicado por el equipo de investigadores de VPNMentor. Aquellos de ustedes que siguen de cerca las noticias de seguridad cibernética saben que este equipo en particular está dirigido por Noam Rotem y Ran Locar, que se especializan en encontrar bases de datos mal configuradas y mal protegidas que exponen los datos personales de los usuarios desprevenidos. Probablemente puedas adivinar a dónde va esto.

El 23 de abril, descubrieron un bucket AWS S3 mal configurado que contenía 409 GB de datos. La base de datos no estaba protegida por una contraseña, contenía alrededor de 7,26 millones de registros, y una breve investigación reveló que su propietario era CSC e-Governance Services LTD, el desarrollador del sitio web dedicado a la aplicación Bharat Interface for Money. Los registros datan de febrero de 2019 y aparentemente se guardaron durante una campaña destinada a aumentar la popularidad de BHIM.

Bharat Interface for Money es una aplicación de pago móvil, y es normal esperar que sus bases de datos estén llenas de información personal confidencial. Sin embargo, incluso los investigadores estaban un poco sorprendidos por lo que encontraron en el cubo desprotegido.

Los datos expuestos fueron altamente sensibles

Además de datos personales como nombres, fechas de nacimiento, edad, información de género y detalles de contacto, el paquete S3 mal configurado también contenía cualquier cosa, desde datos biométricos hasta escaneos de tarjetas Aadhaar, certificados de casta y tarjetas de número de cuenta permanente (PAN). Como señalaron los investigadores de VPNMentor, este es el tipo de información que puede encontrar si es un pirata informático y compromete los sistemas de fondo de un banco, lo que muestra cuán grave fue la fuga. Sin embargo, había más.

El paquete S3 también contenía listas CVS de comerciantes que se habían registrado en la aplicación, y había un archivo APK, que aparentemente contenía algunos pares de claves AWS. Para mantenerse en el lado correcto de la ley, los expertos no los usaron, pero especularon que si son válidos, habrían permitido que los ciberdelincuentes usen la infraestructura en la nube de BHIM para todo tipo de operaciones maliciosas.

El manejo de la violación por parte de NPCI es terrible

Probablemente haya sacado sus conclusiones del comunicado de prensa de ayer, pero antes de formar su opinión final sobre cómo las personas responsables de la filtración lo manejaron, debe tener en cuenta algunas cosas más.

Los investigadores de VPNMentor se comunicaron con los Servicios de Gobernanza Electrónica de CSC inmediatamente después de descubrir el cubo con fugas, pero no recibieron respuesta. Cinco días después, el 28 de abril, se pusieron en contacto con el Equipo de Respuesta a Emergencias Informáticas de la India (CERT) y pidieron más ayuda. El CERT respondió al día siguiente, pero la base de datos permaneció en línea. El 5 de mayo, los expertos intentaron nuevamente informar a los desarrolladores, pero su señal cayó en oídos sordos por segunda vez. Dos semanas y media después, los investigadores alertaron nuevamente al CERT y el cubo S3 finalmente se desconectó el 22 de mayo.

Dejando a un lado la reacción tardía, también debemos decir que la filtración no debería haber sucedido en primer lugar. Manejar tanta información confidencial es una responsabilidad enorme, y es difícil encontrar excusas para errores simples de configuración, como poner todos los datos en un depósito público S3 que no está protegido por ningún tipo de autenticación. Sin embargo, lo que es aún más preocupante es el intento de minimizar el problema.

Siempre es decepcionante ver que los proveedores y desarrolladores ignoran las alertas de violación de datos, pero en este caso, el problema es mayor porque millones de usuarios corren un grave riesgo de robo de identidad. Sin embargo, en lugar de ayudar a los usuarios afectados durante la crisis, el NPCI está tratando de fingir que no ha pasado nada y está culpando a los informes de noticias por difundir "desinformación" y "especulaciones". Esto podría ser una guía sobre cómo no manejar un incidente de seguridad de datos.

En Duran
June 2, 2020
News
Spanish
June 2, 2020
News

Entradas populares

Microsoft advierte que los actores de amenazas respaldados por...

Hace 4 days

Troyano Al11 Detección de malware

Hace 11 months

Pinaview es una aplicación de adware con todas las funciones

Hace 10 months

Ventanas emergentes "Tu iCloud está siendo pirateado" y "Tu...

Hace 7 months

¿Qué es Lucky Ransomware?

Hace 7 months

Estafa por correo electrónico 'American Express - Actualice la...

Hace 6 months
Spanish
Cargando...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Casa

Productos

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Soporte

Archivos de ayuda Preguntas frecuentes Downloads Inquiries & Support

Empresa

Sobre Nosotros Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Política de privacidad Política de cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows es una marca comercial de Microsoft, registrada en EE. UU. Y otros países.
Mac, iPhone, iPad y App Store son marcas comerciales de Apple Inc., registradas en EE. UU. Y otros países.
iOS es una marca comercial registrada de Cisco Systems, Inc. y / o sus afiliadas en los Estados Unidos y algunos otros países.
Android y Google Play son marcas comerciales de Google LLC.