Uma violação de dados na interface do aplicativo de pagamento Bharat por dinheiro exposto a milhões de dados de indianos

Bharat Interface for Money Data Breach

Ontem, a National Payments Corporation of India (NPCI) publicou o que deve ser uma das declarações de mídia mais obscuras que já vimos. São precisamente três frases. O primeiro afirma que a equipe da NPCI viu notícias de uma violação de dados no aplicativo móvel Bharat Interface for Money (BHIM). A segunda frase diz que 'não houve comprometimento de dados no BHIM App [sic]' e insta as pessoas a evitar serem vítimas de tais 'especulações'. Curiosamente, o tweet que acompanha a declaração substitui a palavra 'especulações' por 'desinformação'. A terceira e última frase é uma declaração genérica sobre como o NPCI leva a segurança muito a sério.

Realmente não há muita informação real no anúncio da NPCI, o que significava que tivemos que cavar um pouco mais para descobrir o que estava acontecendo.

Um balde S3 desprotegido expôs os dados de milhões de usuários indianos

O comunicado de imprensa pouco informativo da NPCI foi provocado por um relatório publicado pela equipe de pesquisadores do VPNMentor. Aqueles de vocês que acompanham as notícias sobre segurança cibernética sabem de perto que essa equipe em particular é liderada por Noam Rotem e Ran Locar, especializados em encontrar bancos de dados mal configurados e mal protegidos, que expõem os dados pessoais de usuários desavisados. Você provavelmente pode adivinhar onde isso está indo.

Em 23 de abril, eles descobriram um bucket do AWS S3 mal configurado que continha 409 GB de dados. O banco de dados não estava protegido por senha, continha cerca de 7,26 milhões de registros e uma breve investigação revelou que seu proprietário era o CSC e-Governance Services LTD, desenvolvedor do site dedicado ao aplicativo Bharat Interface for Money. Os registros foram datados de fevereiro de 2019 e aparentemente foram salvos durante uma campanha destinada a aumentar a popularidade do BHIM.

O Bharat Interface for Money é um aplicativo de pagamento móvel e é normal esperar que seus bancos de dados estejam cheios de informações pessoais sensíveis. Mesmo os pesquisadores ficaram um pouco surpresos com o que encontraram no balde desprotegido.

Os dados expostos eram altamente sensíveis

Além de dados pessoais como nomes, datas de nascimento, idade, informações de gênero e detalhes de contato, o balde S3 mal configurado também continha qualquer coisa, desde dados biométricos a digitalizações de cartões Aadhaar, certificados de castas e cartões PAN (Número de conta permanente). Como os pesquisadores do VPNMentor apontaram, esse é o tipo de informação que você pode encontrar se for um hacker e comprometer os sistemas de back-end de um banco, o que mostra a gravidade do vazamento. Havia mais, no entanto.

O bucket S3 também continha listas CVS de comerciantes que se inscreveram no aplicativo e havia um arquivo APK, que aparentemente continha alguns pares de chaves da AWS. Para permanecer do lado certo da lei, os especialistas não os usaram, mas especularam que, se fossem válidos, teriam permitido que os cibercriminosos usassem a infraestrutura de nuvem da BHIM para todo tipo de operações maliciosas.

O manuseio da violação pela NPCI é terrível

Você provavelmente tirou suas conclusões do comunicado de imprensa de ontem, mas antes de formar sua opinião final sobre como as pessoas responsáveis pelo vazamento lidaram com isso, é preciso ter mais algumas coisas em mente.

Os pesquisadores do VPNMentor entraram em contato com o CSC e-Governance Services imediatamente após descobrir o vazamento, mas eles não receberam resposta. Cinco dias depois, em 28 de abril, eles entraram em contato com a Equipe de Resposta a Emergências por Computador (CERT) da Índia e solicitaram mais assistência. O CERT respondeu no dia seguinte, mas o banco de dados permaneceu online. Em 5 de maio, os especialistas mais uma vez tentaram informar os desenvolvedores, mas seu sinal caiu em ouvidos surdos pela segunda vez. Duas semanas e meia depois, os pesquisadores alertaram o CERT novamente, e o balde S3 foi finalmente desligado em 22 de maio.

Reação atrasada à parte, também devemos dizer que o vazamento não deveria ter acontecido em primeiro lugar. O tratamento de informações tão sigilosas é uma responsabilidade enorme e é difícil encontrar desculpas para erros simples de configuração, como colocar todos os dados em um bucket público do S3 que não esteja protegido por nenhum tipo de autenticação. O que é ainda mais preocupante, no entanto, é a tentativa de minimizar o problema.

É sempre decepcionante ver fornecedores e desenvolvedores ignorarem alertas de violação de dados, mas nesse caso, o problema é maior porque milhões de usuários correm um sério risco de roubo de identidade. Em vez de ajudar os usuários afetados durante a crise, no entanto, o NPCI está tentando fingir que nada aconteceu e está culpando os noticiários por espalhar "desinformação" e "especulações". Isso pode muito bem ser um guia sobre como não lidar com um incidente de segurança de dados.

June 2, 2020
Carregando…

Detalhes e Termos de Backup do Cyclonis

O plano Básico do Backup Gratuito do Cyclonis oferece 2 GB de espaço de armazenamento na nuvem com funcionalidade total! Não é necessário cartão de crédito. Precisa de mais espaço de armazenamento? Compre um plano maior do Backup do Cyclonios agora! Para saber mais sobre nossas políticas e preços, consulte os Termos de Serviço, Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.

Detalhes e Termos do Gerenciador de Senhas do Cyclonis

Teste GRATUITO: Oferta Única de 30 Dias! Nenhum cartão de crédito será necessário para o teste gratuito. Funcionalidade completa durante o período de avaliação gratuita. (A funcionalidade completa após a Avaliação Gratuita requer a compra deaassinatura.) Para saber mais sobre nossas políticas e preços, consulte o CLUF, a Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.