Payment App Bharat界面上的数据泄露行为暴露了数百万印度人的钱

昨天，印度国家支付公司（NPCI） 发布了我们所见过的最不清楚的媒体声明之一。正好是三句话。第一个陈述指出，NPCI的团队已经在Bharat Money for Money（BHIM）移动应用程序中看到有关数据泄露的新闻报道。第二句话说：“ BHIM App [sic]没有数据泄露”，并敦促人们避免被此类“猜测”所害。奇怪的是，声明中附带的推文用“错误信息”代替了“投机”一词。第三句话也是最后一句话，是关于NPCI如何非常重视安全性的一般性陈述。

NPCI的公告中实际上并没有太多实际信息，这意味着我们不得不进一步挖掘发现正在发生的事情。

一个不受保护的S3存储桶暴露了数百万印度用户的数据

VPNMentor研究人员团队发布的一份报告激起了NPCI的非新闻性新闻稿。那些关注网络安全新闻的人都非常清楚，这个特殊的团队是由Noam Rotem和Ran Locar领导的，他们专门研究配置错误且保护不佳的数据库 ，这些数据库暴露了毫无疑问的用户个人数据。您可能会猜到这是怎么回事。

4月23日，他们发现配置不良的AWS S3存储桶可存储409GB数据。该数据库不受密码保护，它包含约726万条记录，并且经过简短调查后发现，该数据库的所有者是CSC e-Governance Services LTD，该网站专门开发Bharat Interface for Money应用程序。这些记录可以追溯到2019年2月，显然是在旨在提高BHIM受欢迎程度的运动中保存的。

Bharat Money界面是一个移动支付应用程序，通常期望其数据库中充满敏感的个人信息。不过，即使是研究人员也对未受保护的存储桶中的内容感到惊讶。

公开的数据非常敏感

除了个人数据（例如姓名，出生日期，年龄，性别信息和联系方式）外，配置不当的S3存储桶还包含从生物特征数据到Aadhaar卡，种姓证书和永久帐号（PAN）卡的扫描等内容。正如VPNMentor的研究人员所指出的那样，如果您是黑客并且破坏了银行的后端系统，则可能会找到这种信息，这表明泄漏的严重性。不过，还有更多。

S3存储桶还包含签署了该应用程序的商家的CVS列表，并且有一个APK文件，其中显然包含一些AWS密钥对。为了保持法律的正确性，专家们没有使用它们，但他们推测，如果它们是有效的，他们将允许网络罪犯使用BHIM的云基础架构进行各种恶意操作。

NPCI对违规行为的处理令人震惊

您可能已经从昨天的新闻稿中得出了结论，但是在对造成泄漏的人员如何处理泄漏形成最终意见之前，您需要牢记一些其他事项。

在发现漏斗后，VPNMentor的研究人员立即联系了CSC电子政务服务，但他们没有得到回应。五天后，即4月28日，他们与印度的计算机紧急响应小组（CERT）联系，并要求进一步的帮助。 CERT确实在第二天做出了回应，但是数据库仍然在线。 5月5日，专家再次试图通知开发人员，但他们的信号第二次置若de闻。两个半星期后，研究人员再次向CERT发出警报，S3存储桶终于在5月22日脱机。

除了延迟的反应，我们还必须说，泄漏不应该首先发生。处理这么多敏感的信息是一项巨大的责任，而且很难为简单的配置错误找到借口，例如将所有数据放入不受任何身份验证保护的公共S3存储桶中。然而，更令人担忧的是试图淡化这个问题。

看到供应商和开发人员忽略数据泄露警报总是令人失望的，但是在这种情况下，问题更大，因为数百万用户面临严重的身份盗用风险。 NPCI并没有帮助危机中受影响的用户，而是假装什么也没有发生，并指责新闻报道传播了“错误信息”和“猜测”。这很可能是有关如何不处理数据安全事件的指南。