お金にさらされた何百万ものインド人のデータに対する支払いアプリBharatインターフェースでのデータ侵害
昨日、インドの国家決済公社(NPCI)は、これまでに見た中で最も不明確なメディアの声明の1つになるべきものを発行しました。正確に3文です。最初のものは、NPCIのチームがBharat Interface for Money(BHIM)モバイルアプリケーションでのデータ侵害のニュースレポートを見たと述べています。 2番目の文は、「BHIM App [sic]でデータの侵害は発生していない」と述べており、人々にそのような「推測」の餌食になることを避けるように促しています。不思議なことに、声明に付随するツイートは「推測」という言葉を「誤報」に置き換えます。 3番目の最後の文は、NPCIがセキュリティを非常に真剣に受け止める方法についての一般的な声明です。
NPCIの発表には、実際の情報はそれほど多くありません。つまり、何が起こっているのかを知るために、もう少し掘り下げる必要がありました。
Table of Contents
保護されていないS3バケットにより、数百万人のインドのユーザーのデータが公開されました
NPCIの有益でないプレスリリースは、VPNMentorの研究者チームが発行したレポートによって引き起こされました 。サイバーセキュリティのニュースをフォローしている人は、この特定の乗組員が、疑わしいユーザーの個人データを公開する、設定が不適切で保護が不十分なデータベースを見つけることを専門とするNoam RotemとRan Locarが率いることをよく知っています。あなたはおそらくこれがどこに向かっているのかを推測することができます。
4月23日、彼らは409GBのデータを保持する設定が不適切なAWS S3バケットを発見しました。データベースはパスワードで保護されておらず、約726万件のレコードが含まれていました。簡単な調査により、その所有者はChara e-Governance Services LTD、Bharat Interface for Moneyアプリケーション専用のWebサイトの開発者であることが判明しました。記録は2019年2月に遡り、BHIMの人気を高めることを目的としたキャンペーン中に明らかに保存されました。
Bharat Interface for Moneyはモバイル決済アプリであり、データベースに機密の個人情報が満載されていることを期待するのはごく普通のことです。研究者でさえ、保護されていないバケツで発見したことに少し驚いていました。
公開されたデータは非常に機密でした
名前、生年月日、年齢、性別情報、連絡先の詳細などの個人データに加えて、適切に構成されていないS3バケットには、生体データからAadhaarカードのスキャン、カースト証明書、永久口座番号(PAN)カードまで何も含まれていました。 VPNMentorの研究者が指摘したように、これはあなたがハッカーであり、銀行のバックエンドシステムを危険にさらした場合に見つかる可能性のある種類の情報であり、リークの深刻さを示しています。しかし、もっとありました。
S3バケットには、アプリにサインアップしたマーチャントのCVSリストも含まれており、APKファイルがあり、AWSキーペアがいくつか含まれているようです。専門家は法の正しい側に留まるためにそれらを使用しませんでしたが、有効であれば、サイバー犯罪者があらゆる種類の悪意のある操作にBHIMのクラウドインフラストラクチャを使用することを許可したと推測しました。
NPCIによる侵害の処理は恐ろしいものです
おそらく、昨日のプレスリリースから結論を導き出したでしょうが、リークの責任者がそれをどのように処理したかについて最終的な意見を述べる前に、さらにいくつかの点に留意する必要があります。
VPNMentorの研究者たちは、リーキーバケットを発見した直後にCSC e-Governance Servicesに連絡しましたが、何の返答もありませんでした。 5日後の4月28日、彼らはインドのコンピュータ緊急対応チーム(CERT)に連絡し、さらなる支援を求めました。 CERTは翌日に応答しましたが、データベースはオンラインのままでした。 5月5日、専門家は再び開発者に通知しようとしましたが、彼らのシグナルは2回目に耳に届きませんでした。 2週間半後、研究者たちは再びCERTに警告し、5月22日についにS3バケットがオフラインになりました。
反応の遅れはさておき、私たちはまた、そもそもリークが起こってはならなかったはずであるとも言わなければなりません。そのような機密情報の処理は非常に大きな責任であり、あらゆる種類の認証によって保護されていないパブリックS3バケットにすべてのデータを配置するなど、単純な設定ミスの言い訳を見つけることは困難です。しかし、さらに心配なのは、問題を軽視しようとする試みです。
ベンダーや開発者がデータ侵害の警告を無視するのを見るのはいつもがっかりですが、この場合、何百万人ものユーザーがID盗難の深刻なリスクにさらされているため、問題はさらに大きくなります。しかし、NPCIは、危機を通じて影響を受けたユーザーを支援する代わりに、何も起こらなかったふりをして、「誤報」と「推測」を広めたというニュースレポートを非難しています。これは、データセキュリティインシデントを処理しない方法に関するガイドとなる可能性があります。