Une violation de données au niveau de l'application de paiement Interface Bharat pour des millions de données indiennes exposées sur l'argent
Hier, la National Payments Corporation of India (NPCI) a publié ce qui doit être l'une des déclarations des médias les plus floues que nous ayons jamais vues. C'est précisément trois phrases. Le premier indique que l'équipe de NPCI a vu des informations faisant état d'une violation de données dans l'application mobile Bharat Interface for Money (BHIM). La deuxième phrase dit qu '«il n'y a pas eu de compromis sur les données à BHIM App [sic]» et exhorte les gens à éviter de devenir la proie de telles «spéculations». Curieusement, le tweet accompagnant la déclaration remplace le mot «spéculations» par «désinformation». La troisième et dernière phrase est une déclaration générique sur la façon dont NPCI prend la sécurité très au sérieux.
Il n'y a vraiment pas beaucoup d'informations réelles dans l'annonce de NPCI, ce qui signifiait que nous devions creuser un peu plus pour savoir ce qui se passait.
Table of Contents
Un compartiment S3 non protégé a dévoilé les données de millions d'utilisateurs indiens
Le communiqué de presse non informatif de NPCI a été provoqué par un rapport publié par l'équipe de chercheurs de VPNMentor. Ceux d'entre vous qui suivent l'actualité de la cybersécurité savent de près que cette équipe particulière est dirigée par Noam Rotem et Ran Locar, qui se spécialisent dans la recherche de bases de données mal configurées et mal protégées qui exposent les données personnelles des utilisateurs sans méfiance. Vous pouvez probablement deviner où cela va.
Le 23 avril, ils ont découvert un compartiment AWS S3 mal configuré qui contenait 409 Go de données. La base de données n'était pas protégée par un mot de passe, elle contenait environ 7,26 millions d'enregistrements, et une brève enquête a révélé que son propriétaire était CSC e-Governance Services LTD, le développeur du site Web dédié à l'application Bharat Interface for Money. Les enregistrements remontent à février 2019 et ont apparemment été sauvegardés lors d'une campagne visant à accroître la popularité de BHIM.
Bharat Interface for Money est une application de paiement mobile, et il est normal de s'attendre à ce que ses bases de données soient remplies d'informations personnelles sensibles. Même les chercheurs ont été un peu surpris par ce qu'ils ont trouvé dans le seau non protégé.
Les données exposées étaient très sensibles
En plus des données personnelles telles que les noms, les dates de naissance, l'âge, le sexe et les coordonnées, le seau S3 mal configuré contenait également tout, des données biométriques aux scans de cartes Aadhaar, de certificats de caste et de cartes de compte permanent (PAN). Comme l'ont souligné les chercheurs de VPNMentor, c'est le genre d'informations que vous pourriez trouver si vous êtes un pirate informatique et que vous compromettez les systèmes backend d'une banque, ce qui montre à quel point la fuite était grave. Mais il y en avait plus.
Le compartiment S3 contenait également des listes CVS de marchands qui s'étaient inscrits à l'application, et il y avait un fichier APK, qui contenait apparemment des paires de clés AWS. Pour rester du bon côté de la loi, les experts ne les ont pas utilisés, mais ils ont spéculé que s'ils étaient valides, ils auraient permis aux cybercriminels d'utiliser l'infrastructure cloud de BHIM pour toutes sortes d'opérations malveillantes.
Le traitement de la brèche par NPCI est épouvantable
Vous avez probablement tiré vos conclusions du communiqué de presse d'hier, mais avant de vous forger votre opinion finale sur la façon dont les personnes responsables de la fuite l'ont gérée, vous devez garder à l'esprit quelques éléments supplémentaires.
Les chercheurs de VPNMentor ont contacté les services de gouvernance électronique du SCC immédiatement après avoir découvert le seau qui fuit, mais ils n'ont reçu aucune réponse. Cinq jours plus tard, le 28 avril, ils ont contacté l’équipe indienne d’intervention en cas d’urgence informatique (CERT) et ont demandé de l’aide. Le CERT a répondu le lendemain, mais la base de données est restée en ligne. Le 5 mai, les experts ont de nouveau tenté d'informer les développeurs, mais leur signal est tombé dans l'oreille d'un sourd pour la deuxième fois. Deux semaines et demie plus tard, les chercheurs ont de nouveau alerté le CERT et le seau S3 a finalement été mis hors ligne le 22 mai.
Mis à part la réaction retardée, nous devons également dire que la fuite n'aurait pas dû se produire en premier lieu. La gestion de ces informations sensibles est une énorme responsabilité, et il est difficile de trouver des excuses pour de simples erreurs de configuration, comme placer toutes les données dans un compartiment S3 public qui n'est protégé par aucune sorte d'authentification. Ce qui est encore plus inquiétant, cependant, c'est la tentative de minimiser le problème.
Il est toujours décevant de voir que les fournisseurs et les développeurs ignorent les alertes de violation de données, mais dans ce cas, le problème est plus grave car des millions d'utilisateurs courent un risque sérieux de vol d'identité. Au lieu d'aider les utilisateurs touchés à travers la crise, cependant, le NPCI essaie de prétendre que rien ne s'est passé et blâme les reportages pour avoir répandu des "désinformations" et des "spéculations". Cela pourrait très bien être un guide sur la façon de ne pas gérer un incident de sécurité des données.
