お金にさらされた何百万ものインド人のデータに対する支払いアプリBharatインターフェースでのデータ侵害

Bharat Interface for Money Data Breach

昨日、インドの国家決済公社(NPCI)は、これまでに見た中で最も不明確なメディアの声明の1つになるべきものを発行しました。正確に3文です。最初のものは、NPCIのチームがBharat Interface for Money(BHIM)モバイルアプリケーションでのデータ侵害のニュースレポートを見たと述べています。 2番目の文は、「BHIM App [sic]でデータの侵害は発生していない」と述べており、人々にそのような「推測」の餌食になることを避けるように促しています。不思議なことに声明に付随するツイートは「推測」という言葉を「誤報」に置き換えます。 3番目の最後の文は、NPCIがセキュリティを非常に真剣に受け止める方法についての一般的な声明です。

NPCIの発表には、実際の情報はそれほど多くありません。つまり、何が起こっているのかを知るために、もう少し掘り下げる必要がありました。

保護されていないS3バケットにより、数百万人のインドのユーザーのデータが公開されました

NPCIの有益でないプレスリリースは、VPNMentorの研究者チームが発行したレポートによって引き起こされまし 。サイバーセキュリティのニュースをフォローしている人は、この特定の乗組員が、疑わしいユーザーの個人データを公開する、設定が不適切で保護が不十分なデータベースを見つけることを専門とするNoam RotemとRan Locarが率いることをよく知っています。あなたはおそらくこれがどこに向かっているのかを推測することができます。

4月23日、彼らは409GBのデータを保持する設定が不適切なAWS S3バケットを発見しました。データベースはパスワードで保護されておらず、約726万件のレコードが含まれていました。簡単な調査により、その所有者はChara e-Governance Services LTD、Bharat Interface for Moneyアプリケーション専用のWebサイトの開発者であることが判明しました。記録は2019年2月に遡り、BHIMの人気を高めることを目的としたキャンペーン中に明らかに保存されました。

Bharat Interface for Moneyはモバイル決済アプリであり、データベースに機密の個人情報が満載されていることを期待するのはごく普通のことです。研究者でさえ、保護されていないバケツで発見したことに少し驚いていました。

公開されたデータは非常に機密でした

名前、生年月日、年齢、性別情報、連絡先の詳細などの個人データに加えて、適切に構成されていないS3バケットには、生体データからAadhaarカードのスキャン、カースト証明書、永久口座番号(PAN)カードまで何も含まれていました。 VPNMentorの研究者が指摘したように、これはあなたがハッカーであり、銀行のバックエンドシステムを危険にさらした場合に見つかる可能性のある種類の情報であり、リークの深刻さを示しています。しかし、もっとありました。

S3バケットには、アプリにサインアップしたマーチャントのCVSリストも含まれており、APKファイルがあり、AWSキーペアがいくつか含まれているようです。専門家は法の正しい側に留まるためにそれらを使用しませんでしたが、有効であれば、サイバー犯罪者があらゆる種類の悪意のある操作にBHIMのクラウドインフラストラクチャを使用することを許可したと推測しました。

NPCIによる侵害の処理は恐ろしいものです

おそらく、昨日のプレスリリースから結論を導き出したでしょうが、リークの責任者がそれをどのように処理したかについて最終的な意見を述べる前に、さらにいくつかの点に留意する必要があります。

VPNMentorの研究者たちは、リーキーバケットを発見した直後にCSC e-Governance Servicesに連絡しましたが、何の返答もありませんでした。 5日後の4月28日、彼らはインドのコンピュータ緊急対応チーム(CERT)に連絡し、さらなる支援を求めました。 CERTは翌日に応答しましたが、データベースはオンラインのままでした。 5月5日、専門家は再び開発者に通知しようとしましたが、彼らのシグナルは2回目に耳に届きませんでした。 2週間半後、研究者たちは再びCERTに警告し、5月22日についにS3バケットがオフラインになりました。

反応の遅れはさておき、私たちはまた、そもそもリークが起こってはならなかったはずであるとも言わなければなりません。そのような機密情報の処理は非常に大きな責任であり、あらゆる種類の認証によって保護されていないパブリックS3バケットにすべてのデータを配置するなど、単純な設定ミスの言い訳を見つけることは困難です。しかし、さらに心配なのは、問題を軽視しようとする試みです。

ベンダーや開発者がデータ侵害の警告を無視するのを見るのはいつもがっかりですが、この場合、何百万人ものユーザーがID盗難の深刻なリスクにさらされているため、問題はさらに大きくなります。しかし、NPCIは、危機を通じて影響を受けたユーザーを支援する代わりに、何も起こらなかったふりをして、「誤報」と「推測」を広めたというニュースレポートを非難しています。これは、データセキュリティインシデントを処理しない方法に関するガイドとなる可能性があります。

Duran
June 2, 2020
News
日本語
June 2, 2020
News

人気の投稿

マイクロソフト、国家支援の攻撃者が攻撃に AI を使用していると警告

4 days年前

トロイの木馬 Al11 マルウェアの検出

11 months年前

Pinaview はフル機能のアドウェア アプリです

10 months年前

「あなたの iCloud がハッキングされています」および「あなたの iPhone がハッキングされています」ポップアップ

7 months年前

Lucky ランサムウェアとは何ですか?

7 months年前

「American Express - アカウント情報の更新」電子メール詐欺

6 months年前
日本語
読み込み中...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

ホーム

製品

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

サポート

ヘルプファイル よくある質問 Downloads Inquiries & Support

会社

私たちに関しては Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service 個人情報保護方針 クッキーポリシー Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windowsは、Microsoftの商標であり、米国およびその他の国で登録されています。
Mac、iPhone、iPad、およびApp Storeは、米国およびその他の国で登録されたAppleInc。の商標です。
iOSは、Cisco Systems、Inc。および/またはその関連会社の米国およびその他の国における登録商標です。
AndroidおよびGooglePlayは、GoogleLLCの商標です。