Payment App Bharat界面上的數據洩露行為暴露了數百萬印度人的錢
昨天,印度國家支付公司(NPCI) 發布了我們所見過的最不清楚的媒體聲明之一。正好是三句話。第一個陳述指出,NPCI的團隊已經在Bharat Money for Money(BHIM)移動應用程序中看到有關數據洩露的新聞報導。第二句話說:“ BHIM App沒有任何數據洩露的問題”,並敦促人們避免被此類“猜測”所害。奇怪的是,聲明所附的推文用“錯誤信息”代替了“投機”一詞。第三句話也是最後一句話,是關於NPCI如何非常重視安全性的一般性陳述。
NPCI的公告中實際上並沒有太多實際信息,這意味著我們不得不進一步挖掘以了解發生了什麼。
Table of Contents
一個不受保護的S3存儲桶暴露了數百萬印度用戶的數據
VPNMentor研究人員團隊發布的一份報告激起了NPCI的非新聞性新聞稿。那些關注網絡安全新聞的人都非常清楚,這個特殊的團隊是由Noam Rotem和Ran Locar領導的,他們專門研究配置錯誤且保護不佳的數據庫 ,這些數據庫暴露了毫無疑問的用戶個人數據。您可能會猜到這是怎麼回事。
4月23日,他們發現配置不良的AWS S3存儲桶可存儲409GB數據。該數據庫不受密碼保護,其中包含約726萬條記錄,並且經過簡短調查後發現,該數據庫的所有者是CSC e-Governance Services LTD,該網站專門開發了Bharat Interface for Money應用程序。這些記錄可以追溯到2019年2月,顯然是在旨在提高BHIM受歡迎程度的運動中保存的。
Bharat Money界面是一個移動支付應用程序,通常期望其數據庫中充滿敏感的個人信息。不過,即使是研究人員也對未受保護的存儲桶中的內容感到驚訝。
公開的數據非常敏感
除了個人數據(例如姓名,出生日期,年齡,性別信息和聯繫方式)外,配置不當的S3存儲桶還包含從生物特徵數據到Aadhaar卡,種姓證書和永久帳號(PAN)卡的掃描等內容。正如VPNMentor的研究人員所指出的那樣,如果您是黑客並且破壞了銀行的後端系統,則可能會找到這種信息,這表明洩漏的嚴重性。不過,還有更多。
S3存儲桶還包含簽署了該應用程序的商家的CVS列表,並且有一個APK文件,其中顯然包含一些AWS密鑰對。為了保持法律的正確性,專家沒有使用它們,但他們推測,如果它們是有效的,他們將允許網絡罪犯使用BHIM的雲基礎架構進行各種惡意操作。
NPCI對違規行為的處理令人震驚
您可能已經從昨天的新聞稿中得出了結論,但是在就造成洩漏的人員如何處理洩漏形成最終意見之前,您需要牢記一些其他事項。
在發現漏斗後,VPNMentor的研究人員立即聯繫了CSC電子政務服務,但他們沒有得到任何回應。五天后,即4月28日,他們與印度的計算機應急響應小組(CERT)聯繫,並要求進一步的幫助。 CERT確實在第二天做出了回應,但是數據庫仍然在線。 5月5日,專家再次試圖通知開發人員,但他們的信號第二次置若de聞。兩個半星期後,研究人員再次向CERT發出警報,S3存儲桶終於在5月22日脫機。
除了延遲的反應,我們還必須說,洩漏不應該首先發生。處理這麼多敏感信息是一項巨大的責任,而且很難為簡單的配置錯誤找到藉口,例如將所有數據放入不受任何身份驗證保護的公共S3存儲桶中。然而,更令人擔憂的是試圖淡化這個問題。
看到供應商和開發人員忽略數據洩露警報總是令人失望的,但是在這種情況下,問題更大,因為數百萬的用戶面臨嚴重的身份盜用風險。 NPCI並沒有幫助危機中受影響的用戶,而是假裝什麼也沒有發生,並指責新聞報導傳播了“錯誤信息”和“猜測”。這很可能是有關如何不處理數據安全事件的指南。