Payment App Bharat界面上的數據洩露行為暴露了數百萬印度人的錢

Bharat Interface for Money Data Breach

昨天,印度國家支付公司(NPCI) 發布了我們所見過的最不清楚的媒體聲明之一。正好是三句話。第一個陳述指出,NPCI的團隊已經在Bharat Money for Money(BHIM)移動應用程序中看到有關數據洩露的新聞報導。第二句話說:“ BHIM App沒有任何數據洩露的問題”,並敦促人們避免被此類“猜測”所害。奇怪的是,聲明所附的推文用“錯誤信息”代替了“投機”一詞。第三句話也是最後一句話,是關於NPCI如何非常重視安全性的一般性陳述。

NPCI的公告中實際上並沒有太多實際信息,這意味著我們不得不進一步挖掘以了解發生了什麼。

一個不受保護的S3存儲桶暴露了數百萬印度用戶的數據

VPNMentor研究人員團隊發布的一份報告激起了NPCI的非新聞性新聞稿。那些關注網絡安全新聞的人都非常清楚,這個特殊的團隊是由Noam Rotem和Ran Locar領導的,他們專門研究配置錯誤且保護不佳的數據庫 ,這些數據庫暴露了毫無疑問的用戶個人數據。您可能會猜到這是怎麼回事。

4月23日,他們發現配置不良的AWS S3存儲桶可存儲409GB數據。該數據庫不受密碼保護,其中包含約726萬條記錄,並且經過簡短調查後發現,該數據庫的所有者是CSC e-Governance Services LTD,該網站專門開發了Bharat Interface for Money應用程序。這些記錄可以追溯到2019年2月,顯然是在旨在提高BHIM受歡迎程度的運動中保存的。

Bharat Money界面是一個移動支付應用程序,通常期望其數據庫中充滿敏感的個人信息。不過,即使是研究人員也對未受保護的存儲桶中的內容感到驚訝。

公開的數據非常敏感

除了個人數據(例如姓名,出生日期,年齡,性別信息和聯繫方式)外,配置不當的S3存儲桶還包含從生物特徵數據到Aadhaar卡,種姓證書和永久帳號(PAN)卡的掃描等內容。正如VPNMentor的研究人員所指出的那樣,如果您是黑客並且破壞了銀行的後端系統,則可能會找到這種信息,這表明洩漏的嚴重性。不過,還有更多。

S3存儲桶還包含簽署了該應用程序的商家的CVS列表,並且有一個APK文件,其中顯然包含一些AWS密鑰對。為了保持法律的正確性,專家沒有使用它們,但他們推測,如果它們是有效的,他們將允許網絡罪犯使用BHIM的雲基礎架構進行各種惡意操作。

NPCI對違規行為的處理令人震驚

您可能已經從昨天的新聞稿中得出了結論,但是在就造成洩漏的人員如何處理洩漏形成最終意見之前,您需要牢記一些其他事項。

在發現漏斗後,VPNMentor的研究人員立即聯繫了CSC電子政務服務,但他們沒有得到任何回應。五天后,即4月28日,他們與印度的計算機應急響應小組(CERT)聯繫,並要求進一步的幫助。 CERT確實在第二天做出了回應,但是數據庫仍然在線。 5月5日,專家再次試圖通知開發人員,但他們的信號第二次置若de聞。兩個半星期後,研究人員再次向CERT發出警報,S3存儲桶終於在5月22日脫機。

除了延遲的反應,我們還必須說,洩漏不應該首先發生。處理這麼多敏感信息是一項巨大的責任,而且很難為簡單的配置錯誤找到藉口,例如將所有數據放入不受任何身份驗證保護的公共S3存儲桶中。然而,更令人擔憂的是試圖淡化這個問題。

看到供應商和開發人員忽略數據洩露警報總是令人失望的,但是在這種情況下,問題更大,因為數百萬的用戶面臨嚴重的身份盜用風險。 NPCI並沒有幫助危機中受影響的用戶,而是假裝什麼也沒有發生,並指責新聞報導傳播了“錯誤信息”和“猜測”。這很可能是有關如何處理數據安全事件的指南。

June 2, 2020
正在加載...

Cyclonis Backup Details & Terms

免费的基本 Cyclonis 备份计划为您提供 2 GB 的云存储空间和完整的功能!无需信用卡。需要更多存储空间?立即购买更大的 Cyclonis 备份计划!要详细了解我们的政策和定价,请参阅服务条款隐私政策折扣条款购买页面。如果您想卸载该应用程序,请访问卸载说明页面。

Cyclonis Password Manager Details & Terms

免费试用:30 天一次性优惠!免费试用不需要信用卡。免费试用期间的完整功能。 (免费试用后的完整功能需要订阅购买。)要了解有关我们的政策和定价的更多信息,请参阅EULA隐私政策折扣条款购买页面。如果您想卸载应用程序,请访问卸载说明页面。