Una violazione dei dati all'applicazione di pagamento Bharat Interface per denaro esposto milioni di dati degli indiani
Ieri, la National Payments Corporation of India (NPCI) ha pubblicato quella che deve essere una delle dichiarazioni dei media più poco chiare che abbiamo mai visto. Sono esattamente tre frasi. Il primo afferma che il team di NPCI ha visto notizie di una violazione dei dati nell'applicazione mobile Bharat Interface for Money (BHIM). La seconda frase afferma che "non vi è stato alcun compromesso sui dati presso l'App BHIM [sic]" ed esorta le persone a evitare di cadere in preda a tali "speculazioni". Curiosamente, il tweet che accompagna la dichiarazione sostituisce la parola "speculazioni" con "disinformazione". La terza e ultima frase è una dichiarazione generica su come l'NPCI prende molto sul serio la sicurezza.
Non ci sono davvero molte informazioni reali nell'annuncio di NPCI, il che significa che abbiamo dovuto scavare un po 'più per scoprire cosa sta succedendo.
Table of Contents
Un bucket S3 non protetto ha rivelato i dati di milioni di utenti indiani
Il comunicato stampa non informativo di NPCI è stato provocato da un rapporto pubblicato dal team di ricercatori di VPNMentor. Quelli di voi che seguono le notizie sulla sicurezza informatica sanno bene che questo particolare gruppo è guidato da Noam Rotem e Ran Locar, specializzati nella ricerca di database mal configurati e scarsamente protetti che espongono i dati personali degli utenti ignari. Probabilmente puoi indovinare dove sta andando.
Il 23 aprile, hanno scoperto un bucket AWS S3 mal configurato che conteneva 409 GB di dati. Il database non era protetto da una password, conteneva circa 7,26 milioni di record e una breve indagine ha rivelato che il suo proprietario era CSC e-Governance Services LTD, lo sviluppatore del sito Web dedicato all'applicazione Bharat Interface for Money. I documenti risalgono a febbraio 2019 e apparentemente sono stati salvati durante una campagna volta ad aumentare la popolarità del BHIM.
Bharat Interface for Money è un'app di pagamento mobile ed è normale aspettarsi che i suoi database siano pieni di informazioni personali sensibili. Tuttavia, anche i ricercatori sono rimasti un po 'sorpresi da ciò che hanno trovato nel secchio non protetto.
I dati esposti erano altamente sensibili
Oltre ai dati personali come nomi, date di nascita, età, informazioni di genere e dettagli di contatto, la benna S3 mal configurata conteneva anche qualsiasi cosa, dai dati biometrici alle scansioni di carte Aadhaar, certificati di casta e carte di numero di conto permanente (PAN). Come hanno sottolineato i ricercatori di VPNMentor, questo è il tipo di informazioni che potresti trovare se sei un hacker e comprometti i sistemi di backend di una banca, il che dimostra quanto fosse grave la perdita. C'era di più, però.
Il bucket S3 conteneva anche elenchi CVS di commercianti che si erano registrati per l'app e c'era un file APK, che apparentemente conteneva alcune coppie di chiavi AWS. Per rimanere dalla parte della legge, gli esperti non li hanno utilizzati, ma hanno ipotizzato che se fossero validi, avrebbero consentito ai criminali informatici di utilizzare l'infrastruttura cloud di BHIM per ogni sorta di operazioni dannose.
La gestione della violazione da parte di NPCI è spaventosa
Probabilmente hai tratto le tue conclusioni dal comunicato stampa di ieri, ma prima di formulare la tua opinione finale su come le persone responsabili della perdita l'hanno gestita, devi tenere a mente alcune cose in più.
I ricercatori di VPNMentor hanno contattato CSC e-Governance Services immediatamente dopo aver scoperto il secchio che perde, ma non hanno ricevuto risposta. Cinque giorni dopo, il 28 aprile, si sono messi in contatto con il Computer Emergency Response Team (CERT) dell'India e hanno chiesto ulteriore assistenza. Il CERT ha risposto il giorno seguente, ma il database è rimasto online. Il 5 maggio, gli esperti hanno nuovamente cercato di informare gli sviluppatori, ma il loro segnale è caduto inascoltato per la seconda volta. Due settimane e mezzo dopo, i ricercatori hanno avvisato di nuovo il CERT e il secchio S3 è stato finalmente messo offline il 22 maggio.
Ritardata reazione a parte, dobbiamo anche dire che la perdita non dovrebbe essersi verificata in primo luogo. Gestire queste informazioni sensibili è un'enorme responsabilità ed è difficile trovare scuse per semplici errori di configurazione come mettere tutti i dati in un bucket S3 pubblico non protetto da alcun tipo di autenticazione. Ciò che è ancora più preoccupante, tuttavia, è il tentativo di minimizzare il problema.
È sempre deludente vedere venditori e sviluppatori ignorare gli avvisi di violazione dei dati, ma in questo caso il problema è più grande perché milioni di utenti sono seriamente a rischio di furto di identità. Invece di aiutare gli utenti colpiti durante la crisi, tuttavia, l'NPCI sta cercando di fingere che non sia successo nulla e sta incolpando i notiziari per aver diffuso "disinformazione" e "speculazioni". Questa potrebbe benissimo essere una guida su come non gestire un incidente di sicurezza dei dati.
