Ett dataöverträdelse vid betalningsapp Bharat-gränssnitt för pengar som exponeras miljontals indianers data
I går utfärdade National Payments Corporation of India (NPCI) det som måste vara ett av de mest oklara medieuttalanden vi någonsin har sett. Det är exakt tre meningar långa. Den första säger att NPCI: s team har sett nyhetsrapporter om ett dataintrång i BHIM: s mobilapplikation (BHIM). I den andra meningen sägs att "det inte har förekommit någon datakompromiss vid BHIM App [sic]" och uppmanar människor att undvika att falla till byte mot sådana "spekulationer". Märkligt nog ersätter tweeten som följer med uttalandet ordet "spekulationer" med "felinformation." Den tredje och sista meningen är ett generiskt uttalande om hur NPCI tar säkerheten mycket på allvar.
Det finns verkligen inte mycket faktisk information i NPCI: s tillkännagivande, vilket innebar att vi var tvungna att gräva lite längre för att ta reda på vad som händer.
Table of Contents
En oskyddad S3-hink visade uppgifter från miljoner indiska användare
NPCI: s informativa pressmeddelande provocerades av en rapport publicerad av VPNMentors forskargrupp. De av er som följer cybersecurity-nyheter vet noggrant att den här besättningen leds av Noam Rotem och Ran Locar, som är specialiserade på att hitta felkonfigurerade och dåligt skyddade databaser som exponerar intetanande användares personuppgifter. Du kan antagligen gissa vart detta går.
Den 23 april upptäckte de en dåligt konfigurerad AWS S3-hink som innehöll 409 GB data. Databasen skyddades inte med ett lösenord, den innehöll cirka 7,26 miljoner poster, och en kort utredning avslöjade att dess ägare var CSC e-Governance Services LTD, utvecklaren av webbplatsen tillägnad Bharat Interface for Money-applikationen. Posterna daterade tillbaka till februari 2019 och sparades tydligen under en kampanj som syftar till att öka BHIMs popularitet.
Bharat Interface for Money är en mobil betalningsapp, och det är bara normalt att förvänta sig att dess databaser är fulla av känslig personlig information. Även även forskarna blev lite förvånade över vad de hittade i den oskyddade hinken.
De exponerade uppgifterna var mycket känsliga
Förutom personuppgifter som namn, födelsedatum, ålder, information om kön och kontaktinformation, innehöll den dåligt konfigurerade S3-hinken allt från biometriska data till skanningar av Aadhaar-kort, kastcertifikat och PAN-kort (Permanent Account Number). Som VPNMentors forskare påpekade är detta den typ av information du kan hitta om du är en hacker och du komprometterar backendsystemen i en bank, vilket visar hur allvarlig läckan var. Men det var mer.
S3-hinken innehöll också CVS-listor över köpmän som hade registrerat sig för appen, och det fanns en APK-fil, som tydligen innehöll några AWS-nyckelpar. För att stanna kvar på rätt sida av lagen använde inte experterna dem, men de spekulerade i att om de är giltiga skulle de ha tillåtit cyberbrottslingar att använda BHIMs molninfrastruktur för alla möjliga skadliga åtgärder.
NPCI: s hantering av överträdelsen är skrämmande
Du har antagligen dragit dina slutsatser från gårdagens pressmeddelande, men innan du formulerar din slutliga åsikt om hur de personer som ansvarar för läckan hanterade det måste du ha några fler saker i åtanke.
VPNMentors forskare räckte till CSC e-Governance Services omedelbart efter att de upptäckte den läckande hinken, men de fick inget svar. Fem dagar senare, den 28 april, kontaktade de Indiens Computer Emergency Response Team (CERT) och bad om ytterligare hjälp. CERT svarade dagen efter, men databasen förblev online. Den 5 maj försökte experterna återigen informera utvecklarna, men deras signal föll på döva öron för andra gången. Två och en halv vecka senare varnade forskarna CERT igen, och S3-hinken togs slutligen offline den 22 maj.
Försenad reaktion åt sidan måste vi också säga att läckan inte borde ha inträffat i första hand. Att hantera mycket känslig information är ett enormt ansvar, och det är svårt att hitta ursäkter för enkla konfigurationsfel som att lägga all data i en offentlig S3-hink som inte är skyddad av någon form av autentisering. Det som är ännu mer oroande är försöket att bagatellisera frågan.
Det är alltid en besvikelse att se leverantörer och utvecklare ignorera varningar om dataöverträdelser, men i detta fall är problemet större eftersom miljoner användare utsätts för allvarlig risk för identitetsstöld. I stället för att hjälpa drabbade användare genom krisen försöker NPCI dock låtsas att ingenting har hänt och skyller på nyhetsrapporter för att sprida "felinformation" och "spekulationer". Detta kan mycket väl vara en guide för hur man inte hanterar en datasäkerhetshändelse.
