Нарушение данных в платежном приложении Bharat Interface для денег раскрыло данные миллионов индейцев
Вчера Национальная платежная корпорация Индии (NPCI) выпустила одно из самых неясных заявлений для средств массовой информации, которое мы когда-либо видели. Это точно три предложения. В первом сообщается, что команда NPCI видела новостные сообщения о взломе данных в мобильном приложении Bharat Interface for Money (BHIM). Во втором предложении говорится, что «в BHIM App [sic] не было никаких компромиссов в отношении данных» и содержится призыв к людям не становиться жертвами таких «спекуляций». Любопытно, что твит, сопровождающий утверждение, заменяет слово «спекуляции» на «дезинформацию». Третье и последнее предложение - это общее утверждение о том, как NPCI очень серьезно относится к безопасности.
На самом деле в заявлении NPCI не так много актуальной информации, что означало, что нам пришлось немного покопаться, чтобы узнать, что происходит.
Table of Contents
Незащищенное ведро S3 раскрыло данные миллионов индийских пользователей
Неинформативный пресс-релиз NPCI был спровоцирован отчетом, опубликованным командой исследователей VPNMentor. Те из вас, кто следит за новостями о кибербезопасности, хорошо знают, что эту конкретную команду возглавляют Ноам Ротем и Ран Локар, которые специализируются на поиске неверно настроенных и плохо защищенных баз данных, которые раскрывают личные данные ничего не подозревающих пользователей. Вы, вероятно, можете догадаться, куда это идет.
23 апреля они обнаружили плохо настроенную корзину AWS S3, которая содержала 409 ГБ данных. База данных не была защищена паролем, она содержала около 7,26 миллионов записей, и в результате короткого расследования выяснилось, что ее владельцем является CSC e-Governance Services LTD, разработчик веб-сайта, посвященного приложению Bharat Interface for Money. Записи были датированы февралем 2019 года и, очевидно, были сохранены во время кампании, направленной на повышение популярности BHIM.
Bharat Interface for Money - это мобильное платежное приложение, и вполне нормально ожидать, что его базы данных полны конфиденциальной личной информации. Хотя даже исследователи были немного удивлены тем, что они нашли в незащищенном ведре.
Выставленные данные были очень чувствительными
В дополнение к личным данным, таким как имена, даты рождения, возраст, половая информация и контактные данные, плохо настроенная корзина S3 также содержала что-то от биометрических данных до сканирований карт Аадхаара, кастовых сертификатов и карт постоянного номера счета (PAN). Как отметили исследователи VPNMentor, такую информацию вы можете найти, если вы хакер и ставите под угрозу бэкэнд-системы банка, что показывает, насколько серьезной была утечка. Хотя было и больше.
В корзину S3 также входили списки продавцов CVS, которые подписались на приложение, и был файл APK, который, очевидно, содержал несколько пар ключей AWS. Чтобы оставаться на правильной стороне закона, эксперты не использовали их, но они предполагали, что, если они действительны, они позволят киберпреступникам использовать облачную инфраструктуру BHIM для всех видов вредоносных операций.
NPCI обрабатывает нарушение ужасно
Вы, вероятно, сделали свои выводы из вчерашнего пресс-релиза, но прежде чем составить свое окончательное мнение о том, как люди, ответственные за утечку, справились с этим, необходимо помнить еще несколько вещей.
Исследователи VPNMentor обратились к CSC e-Governance Services сразу же после обнаружения утечки, но ответа не получили. Через пять дней, 28 апреля, они связались с индийской группой реагирования на компьютерные инциденты (CERT) и попросили о дальнейшей помощи. CERT ответил на следующий день, но база данных осталась в сети. 5 мая эксперты еще раз попытались сообщить разработчикам, но их сигнал во второй раз оказался глухим. Через две с половиной недели исследователи снова предупредили CERT, и 22 мая ведро S3 было окончательно отключено.
Помимо отложенной реакции, мы должны также сказать, что утечка не должна была произойти в первую очередь. Обработка такого большого количества конфиденциальной информации - огромная ответственность, и трудно найти оправдания для простых ошибок конфигурации, таких как помещение всех данных в общедоступную корзину S3, которая не защищена какой-либо аутентификацией. Но что еще больше беспокоит, так это попытка преуменьшить проблему.
Всегда разочаровывает то, что поставщики и разработчики игнорируют оповещения о взломе данных, но в этом случае проблема больше, потому что миллионы пользователей подвергаются серьезному риску кражи личных данных. Однако вместо того, чтобы помогать пострадавшим пользователям во время кризиса, NPC пытается сделать вид, что ничего не произошло, и обвиняет новостные сообщения в распространении «дезинформации» и «спекуляций». Это вполне может быть руководством о том, как не справляться с инцидентом безопасности данных.
