Naruszenie danych w aplikacji płatniczej Interfejs Bharat za ujawnione miliony danych Indian
Wczoraj National Payments Corporation of India (NPCI) wydało coś, co musi być jednym z najbardziej niejasnych oświadczeń medialnych, jakie kiedykolwiek widzieliśmy. Ma dokładnie trzy zdania. Po pierwsze, zespół NPCI widział wiadomości o naruszeniu danych w aplikacji mobilnej Bharat Interface for Money (BHIM). Drugie zdanie mówi, że „w BHIM App [sic] nie doszło do kompromisu w zakresie danych” i zachęca ludzi do unikania ofiar takich „spekulacji”. Co ciekawe, tweet towarzyszący oświadczeniu zastępuje słowo „spekulacje” słowem „dezinformacja”. Trzecie i ostatnie zdanie to ogólne stwierdzenie, w jaki sposób NPCI traktuje bezpieczeństwo bardzo poważnie.
Tak naprawdę w ogłoszeniu NPCI nie ma zbyt wielu rzeczywistych informacji, co oznaczało, że musieliśmy kopać trochę dalej, aby dowiedzieć się, co się dzieje.
Table of Contents
Niezabezpieczony segment S3 ujawnił dane milionów indyjskich użytkowników
Nieinformacyjna informacja prasowa NPCI została sprowokowana raportem opublikowanym przez zespół naukowców VPNMentor. Ci z was, którzy śledzą wiadomości o cyberbezpieczeństwie, ściśle wiedzą, że ta konkretna załoga jest prowadzona przez Noama Rotema i Ran Locara, którzy specjalizują się w znajdowaniu źle skonfigurowanych i słabo chronionych baz danych, które ujawniają dane osobowe niczego niepodejrzewających użytkowników. Prawdopodobnie możesz zgadnąć, dokąd to zmierza.
23 kwietnia odkryli źle skonfigurowany segment AWS S3, w którym przechowywano 409 GB danych. Baza danych nie była chroniona hasłem, zawierała około 7,26 miliona rekordów, a krótkie dochodzenie ujawniło, że jej właścicielem był CSC e-Governance Services LTD, twórca strony internetowej poświęconej aplikacji Bharat Interface for Money. Dane pochodzą z lutego 2019 r. I najwyraźniej zostały zapisane podczas kampanii mającej na celu zwiększenie popularności BHIM.
Bharat Interface for Money to mobilna aplikacja do płatności i normalne jest oczekiwanie, że jej bazy danych są pełne poufnych danych osobowych. Jednak nawet badacze byli nieco zaskoczeni tym, co znaleźli w niechronionym wiadrze.
Ujawnione dane były bardzo wrażliwe
Oprócz danych osobowych, takich jak imię i nazwisko, data urodzenia, wiek, płeć i dane kontaktowe, źle skonfigurowany pojemnik S3 zawierał także wszystko, od danych biometrycznych po skany kart Aadhaar, certyfikatów kastowych i kart stałego numeru konta (PAN). Jak zauważyli badacze VPNMentor, jest to rodzaj informacji, którą możesz znaleźć, jeśli jesteś hakerem i narażasz na szwank systemy bankowe banku, co pokazuje, jak poważny był wyciek. Było jednak coś więcej.
Wiadro S3 zawierało również listy CVS kupców, którzy zarejestrowali się w aplikacji, a także plik APK, który najwyraźniej zawierał kilka par kluczy AWS. Aby pozostać po prawej stronie prawa, eksperci nie korzystali z nich, ale spekulowali, że jeśli są prawidłowe, pozwolą cyberprzestępcom korzystać z infrastruktury chmury BHIM do wszelkiego rodzaju złośliwych operacji.
Postępowanie w przypadku naruszenia przez NPCI jest przerażające
Prawdopodobnie wyciągnąłeś wnioski z wczorajszego komunikatu prasowego, ale zanim sformułujesz ostateczną opinię na temat tego, jak ludzie odpowiedzialni za wyciek sobie z tym poradzili, musisz pamiętać o kilku innych sprawach.
Badacze VPNMentor skontaktowali się z CSC e-Governance Services natychmiast po odkryciu nieszczelnego segmentu, ale nie otrzymali żadnej odpowiedzi. Pięć dni później, 28 kwietnia, skontaktowali się z indyjskim zespołem reagowania komputerowego (CERT) i poprosili o dalszą pomoc. CERT odpowiedział następnego dnia, ale baza danych pozostała online. 5 maja eksperci po raz kolejny próbowali poinformować deweloperów, ale ich sygnał po raz drugi trafił w głuchy uszy. Dwa i pół tygodnia później naukowcy ponownie zaalarmowali CERT, a wiadro S3 zostało ostatecznie odłączone 22 maja.
Pomijając opóźnioną reakcję, musimy również powiedzieć, że przeciek nie powinien nastąpić w pierwszej kolejności. Obsługa tak poufnych informacji jest ogromną odpowiedzialnością i trudno jest znaleźć usprawiedliwienia dla prostych błędów konfiguracji, takich jak umieszczenie wszystkich danych w publicznym segmencie S3, który nie jest chroniony przez żadne uwierzytelnianie. Jeszcze bardziej niepokojąca jest próba lekceważenia problemu.
Zawsze rozczarowuje fakt, że dostawcy i programiści ignorują alerty o naruszeniu danych, ale w tym przypadku problem jest większy, ponieważ miliony użytkowników są poważnie narażone na kradzież tożsamości. Zamiast pomagać dotkniętym kryzysem użytkownikom, NPCI próbuje udawać, że nic się nie wydarzyło i obwinia wiadomości o rozpowszechnianiu „dezinformacji” i „spekulacji”. Może to być również wskazówka, jak nie poradzić sobie z incydentem związanym z bezpieczeństwem danych.
