Payment App Bharat界面上的数据泄露行为暴露了数百万印度人的钱
昨天,印度国家支付公司(NPCI) 发布了我们所见过的最不清楚的媒体声明之一。正好是三句话。第一个陈述指出,NPCI的团队已经在Bharat Money for Money(BHIM)移动应用程序中看到有关数据泄露的新闻报道。第二句话说:“ BHIM App [sic]没有数据泄露”,并敦促人们避免被此类“猜测”所害。奇怪的是,声明中附带的推文用“错误信息”代替了“投机”一词。第三句话也是最后一句话,是关于NPCI如何非常重视安全性的一般性陈述。
NPCI的公告中实际上并没有太多实际信息,这意味着我们不得不进一步挖掘发现正在发生的事情。
Table of Contents
一个不受保护的S3存储桶暴露了数百万印度用户的数据
VPNMentor研究人员团队发布的一份报告激起了NPCI的非新闻性新闻稿。那些关注网络安全新闻的人都非常清楚,这个特殊的团队是由Noam Rotem和Ran Locar领导的,他们专门研究配置错误且保护不佳的数据库 ,这些数据库暴露了毫无疑问的用户个人数据。您可能会猜到这是怎么回事。
4月23日,他们发现配置不良的AWS S3存储桶可存储409GB数据。该数据库不受密码保护,它包含约726万条记录,并且经过简短调查后发现,该数据库的所有者是CSC e-Governance Services LTD,该网站专门开发Bharat Interface for Money应用程序。这些记录可以追溯到2019年2月,显然是在旨在提高BHIM受欢迎程度的运动中保存的。
Bharat Money界面是一个移动支付应用程序,通常期望其数据库中充满敏感的个人信息。不过,即使是研究人员也对未受保护的存储桶中的内容感到惊讶。
公开的数据非常敏感
除了个人数据(例如姓名,出生日期,年龄,性别信息和联系方式)外,配置不当的S3存储桶还包含从生物特征数据到Aadhaar卡,种姓证书和永久帐号(PAN)卡的扫描等内容。正如VPNMentor的研究人员所指出的那样,如果您是黑客并且破坏了银行的后端系统,则可能会找到这种信息,这表明泄漏的严重性。不过,还有更多。
S3存储桶还包含签署了该应用程序的商家的CVS列表,并且有一个APK文件,其中显然包含一些AWS密钥对。为了保持法律的正确性,专家们没有使用它们,但他们推测,如果它们是有效的,他们将允许网络罪犯使用BHIM的云基础架构进行各种恶意操作。
NPCI对违规行为的处理令人震惊
您可能已经从昨天的新闻稿中得出了结论,但是在对造成泄漏的人员如何处理泄漏形成最终意见之前,您需要牢记一些其他事项。
在发现漏斗后,VPNMentor的研究人员立即联系了CSC电子政务服务,但他们没有得到回应。五天后,即4月28日,他们与印度的计算机紧急响应小组(CERT)联系,并要求进一步的帮助。 CERT确实在第二天做出了回应,但是数据库仍然在线。 5月5日,专家再次试图通知开发人员,但他们的信号第二次置若de闻。两个半星期后,研究人员再次向CERT发出警报,S3存储桶终于在5月22日脱机。
除了延迟的反应,我们还必须说,泄漏不应该首先发生。处理这么多敏感的信息是一项巨大的责任,而且很难为简单的配置错误找到借口,例如将所有数据放入不受任何身份验证保护的公共S3存储桶中。然而,更令人担忧的是试图淡化这个问题。
看到供应商和开发人员忽略数据泄露警报总是令人失望的,但是在这种情况下,问题更大,因为数百万用户面临严重的身份盗用风险。 NPCI并没有帮助危机中受影响的用户,而是假装什么也没有发生,并指责新闻报道传播了“错误信息”和“猜测”。这很可能是有关如何不处理数据安全事件的指南。