Et dataovertredelse ved betalingsapp Bharat-grensesnitt for penger som er utsatt for millioner av indianeres data
I går ga National Payments Corporation of India (NPCI) ut det som må være et av de mest uklare medieuttalelsene vi noen gang har sett. Det er nettopp tre setninger lange. Den første oppgir at NPCIs team har sett nyhetsrapporter om et datainnbrudd ved BHIMs grensesnitt for penger (BHIM) mobilapplikasjon. Andre setning sier at 'det ikke har vært noe datakompromiss i BHIM App [sic]' og oppfordrer folk til å unngå å falle byttedyr for slike 'spekulasjoner.' Merkelig nok erstatter tweeten som følger med uttalelsen ordet 'spekulasjoner' med 'feilinformasjon'. Den tredje og siste setningen er en generisk uttalelse om hvordan NPCI tar sikkerhet veldig alvorlig.
Det er egentlig ikke mye faktisk informasjon i kunngjøringen fra NPCI, som betydde at vi måtte grave litt lenger for å finne ut hva som skjer.
Table of Contents
En ubeskyttet S3-bøtte avslørte dataene til millioner av indiske brukere
NPCIs uinformative pressemelding ble provosert av en rapport publisert av VPNMentors forskerteam. De av dere som følger med på nettets sikkerhetsnyheter, vet godt at nettopp dette mannskapet ledes av Noam Rotem og Ran Locar, som spesialiserer seg på å finne feilkonfigurerte og dårlig beskyttede databaser som avslører intetanende brukeres personopplysninger. Du kan sikkert gjette hvor dette går.
23. april oppdaget de en dårlig konfigurert AWS S3-bøtte som inneholdt 409 GB data. Databasen ble ikke beskyttet med et passord, den inneholdt rundt 7,26 millioner poster, og en kort undersøkelse avdekket at eieren var CSC e-Governance Services LTD, utvikleren av nettstedet dedikert til applikasjonen Bharat Interface for Money. Registreringene ble datert tilbake til februar 2019 og ble tilsynelatende lagret under en kampanje for å øke BHIMs popularitet.
Bharat Interface for Money er en mobil betalingsapp, og det er bare normalt å forvente at databasene er fulle av sensitiv personlig informasjon. Selv forskerne ble litt overrasket over hva de fant i den ubeskyttede bøtta.
De utsatte dataene var svært sensitive
I tillegg til personopplysninger som navn, fødselsdato, alder, kjønnsinformasjon og kontaktinformasjon, inneholdt den dårlig konfigurerte S3-bøtta også alt fra biometriske data til skanninger av Aadhaar-kort, kastesertifikater og Permanent Account Number (PAN) -kort. Som VPNMentors forskere påpekte, er dette den slags informasjon du kan finne om du er en hacker, og du går på akkord med backend-systemene til en bank, som viser hvor alvorlig lekkasjen var. Men det var mer.
S3-bøtta inneholdt også CVS-lister over selgere som hadde meldt seg på appen, og det var en APK-fil, som tilsynelatende hadde noen AWS-nøkkelpar. For å holde seg på høyresiden av loven, brukte ekspertene ikke dem, men de spekulerte i at hvis de er gyldige, ville de ha tillatt nettkriminelle å bruke BHIMs skyinfrastruktur for alle slags ondsinnede operasjoner.
NPCIs håndtering av bruddet er rystende
Du har sannsynligvis trukket konklusjonene dine fra gårsdagens pressemelding, men før du danner din endelige mening om hvordan de ansvarlige for lekkasjen håndterte den, må du huske på noen flere ting.
VPNMentors forskere nådde ut til CSC e-Governance Services umiddelbart etter å ha oppdaget den lekke bøtta, men de fikk ingen respons. Fem dager senere, den 28. april, tok de kontakt med Indias Computer Emergency Response Team (CERT) og ba om ytterligere hjelp. CERT svarte dagen etter, men databasen forble online. 5. mai prøvde ekspertene nok en gang å informere utviklerne, men signalet deres falt på døve ører for andre gang. To og en halv uke senere varslet forskerne CERT igjen, og S3-bøtta ble endelig tatt offline 22. mai.
Forsinket reaksjon til side, må vi også si at lekkasjen ikke burde ha skjedd i utgangspunktet. Det er et enormt ansvar å håndtere mye sensitiv informasjon, og det er vanskelig å finne unnskyldninger for enkle konfigurasjonsfeil som å legge alle dataene i en offentlig S3-bøtte som ikke er beskyttet av noen form for godkjenning. Det som er enda mer bekymringsfullt, er forsøket på å bagatellisere problemet.
Det er alltid skuffende å se leverandører og utviklere ignorere varsler om datainnbrudd, men i dette tilfellet er problemet større fordi millioner av brukere er utsatt for alvorlig risiko for identitetstyveri. I stedet for å hjelpe berørte brukere gjennom krisen, prøver NPCI imidlertid å late som ingenting har skjedd, og beskylder nyhetsmeldinger for å ha spredt "feilinformasjon" og "spekulasjoner." Dette kan godt være en guide for hvordan du ikke skal håndtere en datasikkerhetshendelse.
