Duomenų pažeidimas mokėjimų programos „Bharat“ sąsajoje, skirta milijonams indų žmonių atneštiems pinigams
Vakar Indijos nacionalinė mokėjimų korporacija (NPCI) paskelbė tai, kas turi būti vienas neaiškiausių žiniasklaidos pareiškimų, kokius mes kada nors matėme. Tai tiksliai trys sakiniai. Pirmasis teigia, kad NPCI komanda matė naujienų pranešimus apie duomenų pažeidimus mobiliojoje programoje „Bharat Interface for Money“ (BHIM). Antrasis sakinys sako, kad „duomenų bazėje„ BHIM App [sic] nebuvo jokių kompromisų “ir ragina žmones vengti tokių„ spekuliacijų “grobio. Keista, bet prie pareiškimo pridedamas tviteris žodį „spėlionės“ pakeičia žodžiu „dezinformacija“. Trečias ir paskutinis sakinys yra bendras teiginys apie tai, kaip NPCI labai rimtai žiūri į saugumą.
NPCI pranešime iš tikrųjų nėra daug tikros informacijos, o tai reiškė, kad mes turėjome šiek tiek pasitraukti toliau, kad sužinotume, kas vyksta.
Table of Contents
Neapsaugotas S3 kaušas atskleidė milijonų Indijos vartotojų duomenis
NPCI neinformatyvų pranešimą spaudai išprovokavo „VPNMentor“ tyrėjų komandos paskelbta ataskaita. Tie iš jūsų, kurie atidžiai seka kibernetinio saugumo naujienas, žino, kad šiai komandai vadovauja Noam Rotem ir Ran Locar, kurie specializuojasi ieškant netinkamai sukonfigūruotų ir prastai apsaugotų duomenų bazių, atskleidžiančių neįtariamų vartotojų asmeninius duomenis. Tikriausiai galite atspėti, kur tai vyksta.
Balandžio 23 d. Jie atrado blogai sukonfigūruotą „AWS S3“ kibirą, kuriame buvo 409 GB duomenų. Duomenų bazė nebuvo apsaugota slaptažodžiu, joje buvo apie 7,26 milijono įrašų, o trumpas tyrimas atskleidė, kad jos savininkas buvo „CSC e-Governance Services LTD“, tinklalapio, skirto programai „Bharat“ sąsaja už pinigus, kūrėjas. Įrašai datuojami 2019 m. Vasario mėn. Ir, matyt, buvo išsaugoti kampanijos, kuria siekiama padidinti BHIM populiarumą, metu.
„Bharat“ pinigų sąsaja yra mobiliųjų mokėjimų programa, ir tik normalu tikėtis, kad jos duomenų bazėse pilna slaptos asmeninės informacijos. Net tyrėjus šiek tiek nustebino tai, ką jie rado neapsaugotame kibire.
Pateikti duomenys buvo labai neskelbtini
Be asmeninių duomenų, tokių kaip vardai, gimimo datos, amžius, informacija apie lytį ir kontaktinė informacija, prastai sukonfigūruotame S3 kibirėlyje taip pat buvo nieko: nuo biometrinių duomenų iki Aadhaar kortelių nuskaitymo, kasos pažymėjimų ir Nuolatinės sąskaitos numerio (PAN) kortelių. Kaip pabrėžė „VPNMentor“ tyrėjai, tokią informaciją galite rasti, jei esate įsilaužėlis ir pakenkiate banko užpakalinėms sistemoms - tai rodo, koks rimtas nutekėjimas buvo. Vis dėlto buvo daugiau.
S3 segmente taip pat buvo CVS prekybininkų, kurie buvo prisiregistravę prie programos, sąrašų, taip pat buvo APK failas, kuriame, matyt, buvo keletas AWS raktų porų. Norėdami likti dešinėje įstatymo pusėje, ekspertai jais nesinaudojo, tačiau jie spėliojo, kad jei jie galioja, jie būtų leidę elektroniniams nusikaltėliams naudoti BHIM debesų infrastruktūrą visoms kenksmingoms operacijoms vykdyti.
NPCI elgesys su pažeidimu yra pasibaisėtinas
Tikriausiai padarėte išvadas iš vakarykščio pranešimo spaudai, tačiau prieš formuodami savo galutinę nuomonę apie tai, kaip žmonės, atsakingi už nutekėjimą, elgėsi su juo, turite atsiminti dar keletą dalykų.
„VPNMentor“ tyrėjai susisiekė su CSC el. Valdymo tarnybomis iškart po to, kai atrado nesandarų kibirą, tačiau negavo jokio atsakymo. Po penkių dienų, balandžio 28 d., Jie susisiekė su Indijos reagavimo į kompiuterinę situaciją komanda (CERT) ir paprašė tolesnės pagalbos. CERT atsakė kitą dieną, tačiau duomenų bazė liko internete. Gegužės 5 d. Ekspertai dar kartą bandė informuoti kūrėjus, tačiau jų signalas antrą kartą krito ant kurčiųjų ausų. Po dviejų su puse savaitės tyrėjai vėl perspėjo CERT, o gegužės 22 d. S3 kaušas galiausiai buvo neprisijungęs.
Reaguodama į uždelstą reakciją, taip pat turime pasakyti, kad nutekėjimas pirmiausia neturėjo įvykti. Tvarkyti tokią neskelbtiną informaciją yra didžiulė atsakomybė, todėl sunku rasti pasiteisinimų dėl paprastų konfigūracijos klaidų, pvz., Visų duomenų įdėjimo į viešą S3 segmentą, kuris nėra apsaugotas jokiu autentifikavimu. Vis dėlto dar daugiau nerimo kelia bandymas sumenkinti šią problemą.
Visada apmaudu, kai pardavėjai ir kūrėjai ignoruoja įspėjimus apie duomenų pažeidimus, tačiau šiuo atveju problema yra didesnė, nes milijonams vartotojų kyla rimtas tapatybės vagystės pavojus. Užuot padėjusi nukentėjusiems vartotojams per krizę, NPCI bando apsimesti, kad nieko neįvyko, ir kaltina naujienų pranešimus skleidžiant „dezinformaciją“ ir „spekuliacijas“. Tai gali labai gerai būti vadovas apie tai, kaip ne tvarkyti duomenų saugumo incidentą.
