Adatok megsértése a fizetési App Bharat interfészén, amely indiánok milliói adatainak fedezi a pénzt

Bharat Interface for Money Data Breach

Tegnap az Indiai Nemzeti Kifizetési Társaság (NPCI) kiadta azt, amely az egyik legszembetűnőbb sajtóközlemény, amelyet valaha látunk. Pontosan három mondat hosszú. Az első állítás szerint az NPCI csapata híreket jelentett az adat megsértéséről a Bharat Interface for Money (BHIM) mobil alkalmazásban. A második mondat azt mondja, hogy „a BHIM App [sic]-nél nem történt adatkompromisszum”, és sürgeti az embereket, hogy kerüljék el az ilyen „spekulációk áldozatát”. Kíváncsi, hogy a nyilatkozatot kísérő tweet a „spekulációk” szót helyettesíti a „téves információval”. A harmadik és utolsó mondat általános megállapítás arról, hogy az NPCI hogyan veszi nagyon biztonságosan a biztonságot.

Az NPCI bejelentésében valójában nincs sok tényleges információ, ami azt jelentette, hogy egy kicsit tovább kellett ásnunk, hogy megtudjuk, mi folyik itt.

A nem védett S3 vödör több millió indiai felhasználó adatait fedte le

Az NPCI nem tájékozódó sajtóközleményét a VPNMentor kutatócsoportja által közzétett jelentés váltotta ki. Azok köztük, akik szorosan követik a kiberbiztonsági híreket, tudják, hogy ezt a személyzetet Noam Rotem és Ran Locar vezette, akik arra specializálódtak, hogy tévesen konfigurált és rosszul védett adatbázisokat találjanak, amelyek a gyanútlan felhasználók személyes adatait fedik fel. Valószínűleg kitalálhatja, hova megy ez.

Április 23-án felfedezték a rosszul konfigurált AWS S3 vödröt, amely 409 GB adatot tárolt. Az adatbázist nem védett jelszóval, mintegy 7,26 millió rekordot tartalmazott, és egy rövid vizsgálat során kiderült, hogy tulajdonosa a CSC e-Governance Services LTD, a Bharat Interfész a Pénzhez alkalmazás számára elkészített weboldal fejlesztője. A nyilvántartások 2019 februárjában születtek és nyilvánvalóan egy olyan kampány során mentésre kerültek, amelynek célja a BHIM népszerűségének növelése.

A Bharat Interface for Money egy mobil fizetési alkalmazás, és általában normális elvárás, hogy adatbázisai érzékeny személyes információkat tartalmaznak. Még a kutatók is kissé meglepődtek, amit a nem védett vödörben találtak.

A feltárt adatok nagyon érzékenyek voltak

A személyes adatokon, például neveken, születési időpontokon, életkoron, nemeken és elérhetőségeken kívül a rosszul konfigurált S3 vödör tartalmazott semmit a biometrikus adatoktól az Aadhaar-kártyák, kaszt-bizonyítványok és az állandó számlaszám (PAN) kártyák beolvasásáig. Ahogyan a VPNMentor kutatói rámutattak, ez az a fajta információ, amelyet hackerek esetén találhat, és veszélyezteti egy bank háttérrendszerét, ami megmutatja, mennyire súlyos a szivárgás. De volt még.

Az S3 vödör tartalmazta az alkalmazásra feliratkozott kereskedők CVS listáit, és volt egy APK fájl, amely nyilvánvalóan néhány AWS kulcspárt tartalmazott. A törvény jobb oldalán maradás érdekében a szakértők nem használták őket, ám spekuláltak arra, hogy ha érvényesek, akkor a számítógépes bűnözők a BHIM felhőinfrastruktúráját bármilyen rosszindulatú művelethez felhasználhatták volna.

Az NPCI bántalmazóan kezeli a jogsértést

Valószínűleg a tegnapi sajtóközleményből vonta le következtetéseit, de mielőtt véleményt alkotna arról, hogy a szivárgásért felelős emberek hogyan kezelték azt, még néhány dolgot figyelembe kell vennie.

A VPNMentor kutatói a szivárgó vödör felfedezése után azonnal felvetették a kapcsolatot a CSC e-kormányzati szolgálatával, ám nem kaptak választ. Öt nappal később, április 28-án kapcsolatba léptek India számítógépes veszélyhelyzet-elhárítási csoportjával (CERT) és további segítséget kértek. A CERT másnap válaszolt, de az adatbázis online maradt. Május 5-én a szakértők ismét megpróbálták tájékoztatni a fejlesztőket, de jelzésük másodszor siket hangon esett. Két és fél héttel később a kutatók újra figyelmeztették a CERT-t, és végül május 22-én az S3 vödör offline állapotba került.

Késleltetett reakciót eltekintve azt is el kell mondanunk, hogy a szivárgásnak elsősorban nem kellett történnie. A nagyon érzékeny információk kezelése óriási felelősség, és nehéz megtalálni mentségeket az egyszerű konfigurációs hibákra, például az összes adat nyilvános S3 vödörbe helyezéséhez, amelyet nem véd semmilyen hitelesítés. Még ennél is aggasztóbb azonban a kísérlet, hogy aláássák a kérdést.

Mindig kiábrándító, hogy a szállítók és a fejlesztők figyelmen kívül hagyják az adatsértés figyelmeztetéseit, ám ebben az esetben a probléma nagyobb, mert a felhasználók millióit súlyos veszély fenyegeti személyazonosság-lopás. Ahelyett, hogy segítséget nyújtott volna az érintett felhasználóknak a válságon, az NPCI megpróbálja elképzelni, hogy semmi sem történt, és a hírek szerint a téves információ és a spekulációk terjesztését vádolja. Ez nagyon jól lehet egy útmutató, hogyan nem kell kezelni egy adatbiztonsági incidens.

June 2, 2020
Betöltés...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.