Een datalek bij betalingsapp Bharat Interface voor geld dat miljoenen gegevens van Indiërs heeft blootgelegd

Bharat Interface for Money Data Breach

Gisteren heeft de Nationale Payments Corporation of India (NPCB) uitgegeven wat moet een van de meest onduidelijke media uitspraken die we ooit hebben gezien. Het is precies drie zinnen lang. De eerste stelt dat het team van NPCI nieuwsberichten heeft gezien over een datalek bij de mobiele applicatie Bharat Interface for Money (BHIM). De tweede zin zegt dat 'er geen compromis is geweest over de gegevens bij BHIM App [sic]' en dringt er bij mensen op aan om niet ten prooi te vallen aan dergelijke 'speculaties'. Vreemd genoeg vervangt de tweet die bij de verklaring hoort het woord 'speculaties' door 'verkeerde informatie'. De derde en laatste zin is een generieke verklaring over hoe NPCI beveiliging zeer serieus neemt.

Er is echt niet veel actuele informatie in de aankondiging van NPCI, wat betekende dat we wat verder moesten graven om erachter te komen wat er aan de hand was.

Een onbeschermde S3-bucket toonde de gegevens van miljoenen Indiase gebruikers

Het informatieve persbericht van NPCI werd uitgelokt door een rapport dat werd gepubliceerd door het team van onderzoekers van VPNMentor. Degenen onder u die nieuws over cyberveiligheid volgen, weten van dichtbij dat deze specifieke crew wordt geleid door Noam Rotem en Ran Locar, die gespecialiseerd zijn in het vinden van verkeerd geconfigureerde en slecht beveiligde databases die de nietsvermoedende persoonlijke gegevens van gebruikers blootleggen. Je kunt waarschijnlijk raden waar dit naartoe gaat.

Op 23 april ontdekten ze een slecht geconfigureerde AWS S3-bucket met 409 GB aan gegevens. De database was niet beveiligd met een wachtwoord, hij bevatte ongeveer 7,26 miljoen records en een kort onderzoek wees uit dat de eigenaar CSC e-Governance Services LTD was, de ontwikkelaar van de website gewijd aan de Bharat Interface for Money-applicatie. De records waren gedateerd op februari 2019 en werden blijkbaar bewaard tijdens een campagne om de populariteit van BHIM te vergroten.

Bharat Interface for Money is een app voor mobiel betalen en het is niet meer dan normaal om te verwachten dat de databases vol gevoelige persoonlijke informatie staan. Maar zelfs de onderzoekers waren een beetje verrast door wat ze in de onbeschermde emmer vonden.

De blootgestelde gegevens waren zeer gevoelig

Naast persoonlijke gegevens zoals namen, geboortedata, leeftijd, geslachtsgegevens en contactgegevens, bevatte de slecht geconfigureerde S3-bucket ook alles, van biometrische gegevens tot scans van Aadhaar-kaarten, kaste-certificaten en PAN-kaarten (Permanent Account Number). Zoals de onderzoekers van VPNMentor opmerkten, is dit het soort informatie dat je zou kunnen vinden als je een hacker bent en je de backend-systemen van een bank in gevaar brengt, wat laat zien hoe ernstig het lek was. Maar er was meer.

De S3-bucket bevatte ook CVS-lijsten van verkopers die zich hadden aangemeld voor de app, en er was een APK-bestand met blijkbaar enkele AWS-sleutelparen. Om aan de goede kant van de wet te blijven, hebben de experts ze niet gebruikt, maar ze speculeerden dat als ze geldig waren, ze cybercriminelen hadden toegestaan de BHIM-cloudinfrastructuur te gebruiken voor allerlei soorten kwaadaardige operaties.

De afhandeling door NPCI van de inbreuk is verschrikkelijk

U heeft waarschijnlijk uw conclusies getrokken uit het persbericht van gisteren, maar voordat u uw definitieve mening vormt over hoe de mensen die verantwoordelijk waren voor het lek ermee omgingen, moet u nog een paar dingen in gedachten houden.

De onderzoekers van VPNMentor namen onmiddellijk contact op met CSC e-Governance Services nadat ze de lekkende emmer hadden ontdekt, maar ze kregen geen reactie. Vijf dagen later, op 28 april, kwamen ze in contact met het Computer Emergency Response Team (CERT) in India en vroegen om verdere hulp. CERT reageerde de volgende dag wel, maar de database bleef online. Op 5 mei probeerden de experts opnieuw de ontwikkelaars te informeren, maar hun signaal viel voor de tweede keer in dovemansoren. Twee en een halve week later waarschuwden de onderzoekers opnieuw CERT en op 22 mei werd de S3-bucket eindelijk offline gehaald.

Afgezien van de vertraagde reactie, moeten we ook zeggen dat het lek in de eerste plaats niet had mogen gebeuren. Het omgaan met zoveel gevoelige informatie is een enorme verantwoordelijkheid en het is moeilijk om excuses te vinden voor eenvoudige configuratiefouten, zoals het plaatsen van alle gegevens in een openbare S3-bucket die niet wordt beschermd door enige vorm van authenticatie. Wat nog zorgwekkender is, is de poging om het probleem te bagatelliseren.

Het is altijd teleurstellend om te zien dat leveranciers en ontwikkelaars waarschuwingen voor datalekken negeren, maar in dit geval is het probleem groter omdat miljoenen gebruikers een ernstig risico lopen op identiteitsdiefstal. In plaats van de getroffen gebruikers door de crisis te helpen, probeert de NPCI te doen alsof er niets is gebeurd en geeft het de nieuwsberichten de schuld van het verspreiden van "verkeerde informatie" en "speculaties". Dit zou heel goed een leidraad kunnen zijn voor het niet omgaan met een gegevensbeveiligingsincident.

Tegen Duran
June 2, 2020
News
Nederlands
June 2, 2020
News

Populaire posts

Microsoft waarschuwt dat door de staat gesteunde...

4 days geleden

Trojan Al11 malwaredetectie

11 months geleden

Pinaview is een volledig uitgeruste adware-app

10 months geleden

Pop-ups "Uw iCloud wordt gehackt" en "Uw iPhone is gehackt".

7 months geleden

Wat is Lucky-ransomware?

7 months geleden

'American Express - Update uw accountgegevens' E-mailfraude

6 months geleden
Nederlands
Bezig met laden...

Cyclonis Backup Details & Terms

Het gratis Basic Cyclonis Backup-abonnement geeft je 2 GB cloudopslagruimte met volledige functionaliteit! Geen kredietkaart nodig. Meer opslagruimte nodig? Koop vandaag nog een groter Cyclonis Backup-abonnement! Zie Servicevoorwaarden, Privacybeleid, Kortingsvoorwaarden en Aankooppagina voor meer informatie over ons beleid en onze prijzen. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Cyclonis Password Manager Details & Terms

GRATIS proefversie: eenmalige aanbieding van 30 dagen! Geen creditcard vereist voor gratis proefversie. Volledige functionaliteit voor de duur van de gratis proefperiode. (Volledige functionaliteit na gratis proefversie vereist aankoop van een abonnement.) Voor meer informatie over ons beleid en onze prijzen, zie EULA, Privacybeleid, Kortingsvoorwaarden en Aankooppagina. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Huis

Producten

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Ondersteuning

Help-bestanden Veelgestelde vragen Downloads Inquiries & Support

Bedrijf

Over ons Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Privacybeleid Cookie beleid Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows is een handelsmerk van Microsoft, geregistreerd in de VS en andere landen.
Mac, iPhone, iPad en App Store zijn handelsmerken van Apple Inc., geregistreerd in de VS en andere landen.
iOS is een gedeponeerd handelsmerk van Cisco Systems, Inc. en/of zijn dochterondernemingen in de Verenigde Staten en bepaalde andere landen.
Android en Google Play zijn handelsmerken van Google LLC.