La filtración de datos del sitio web de CSC expuso datos de más de 7 millones de usuarios de BHIM

La popular aplicación de pagos UPI BHIM está recientemente en problemas, ya que una filtración de datos del sitio web de CSC expuso datos de más de 7 millones de usuarios de BHIM, incluidos muchos detalles financieros y personales de los usuarios.

La filtración de datos del sitio web de CSC expuso datos de más de 7 millones de usuarios de BHIM

Lo que sucedió es que la aplicación BHIM almacena los datos de los usuarios en un sitio web, y ese sitio web estaba almacenado en un servidor de almacenamiento en la nube mal configurado. Por lo tanto, no había un protocolo de seguridad adecuado que pudiera prevenir que los hackers violaran el servidor. Este incidente fue reportado por vpnMentor, que es una firma de ciberseguridad con sede en Israel.

Ahora, el encargado y desarrollador del sitio web oficial de BHIM, donde se mantienen los datos sensibles, es aparentemente el Centro de Servicios Comunes (CSC) e-Governance Services LTD, y también está parcialmente gestionado por el Gobierno de la India.

“Parece que el CSC estableció el sitio web conectado al S3 Bucket mal configurado para promover el uso de BHIM en toda India y registrar nuevos negocios comerciales, como mecánicos, agricultores, proveedores de servicios y propietarios de tiendas en la aplicación. Es difícil decirlo con precisión, pero el bucket S3 parecía contener registros de un corto período: febrero de 2019. Sin embargo, incluso dentro de un período tan corto, se habían subido y expuesto más de 7 millones de registros”, dijo vpnMentor.

La filtración de datos del sitio web de CSC expuso datos de más de 7 millones de usuarios de BHIM y estos datos expuestos tienen un tamaño de alrededor de 409GB y contienen información sensible como escaneos de la tarjeta Aadhaar con el número, nombre, género, fecha de nacimiento, número PAN, IDs de UPI, copias escaneadas de certificados religiosos y de casta, fotos de los usuarios junto con la dirección residencial, títulos y certificados profesionales, capturas de pantalla de aplicaciones financieras y bancarias, escaneos de impresiones dactilares. ¿No es una locura y muy malo que muchos indios hayan tenido sus datos sensibles filtrados?

Esta vulnerabilidad en el sitio web fue detectada por primera vez el 23 de abril y vpnMentor aparentemente se acercó al Equipo de Respuesta a Emergencias Informáticas (CERT-In) el 28 de abril. El CERT respondió a las quejas al día siguiente y se dice que las brechas en la seguridad del sitio web fueron eliminadas el 22 de mayo.

Noam Rotem y Ran Locar, los investigadores de ciberseguridad que descubrieron la filtración de datos, dijeron: “El volumen de datos sensibles y privados expuestos, junto con los IDs de UPI, escaneos de documentos y más, hace que esta violación sea profundamente preocupante. La exposición de los datos de los usuarios de BHIM es similar a que un hacker obtenga acceso a toda la infraestructura de datos de un banco, junto con la información de cuenta de millones de sus usuarios.”

“La escala de los datos expuestos es extraordinaria, afectando a millones de personas en toda India y exponiéndolas a un fraude, robo y ataques potencialmente devastadores por parte de hackers y criminales cibernéticos”, dijo la firma de ciberseguridad en un comunicado.

Esto es lo que dijo NPCI (Cooperación Nacional de Pagos de India) sobre la filtración de datos del sitio web de CSC que expuso datos de más de 7 millones de usuarios de BHIM: “Hemos encontrado algunos informes de noticias que sugieren una filtración de datos en la App BHIM. Nos gustaría aclarar que no ha habido compromiso de datos en la App BHIM y pedimos a todos que no caigan en tales especulaciones. NPCI sigue un alto nivel de seguridad y un enfoque integrado para proteger su infraestructura y continuar proporcionando un ecosistema de pagos robusto.”

Hasta ahora, no ha habido casos de uso indebido de los datos filtrados de los usuarios, pero se advierte a los usuarios que no compartan ningún OTP, ni respondan a llamadas o correos electrónicos que soliciten los detalles de su cuenta bancaria y sugerimos que hagan lo mismo. Siempre es mejor mantenerse seguro, pero es una locura que incluso si sigues todos los protocolos de seguridad, tus datos aún estén en riesgo y eso es muy triste.

Fuente | Vía

Leer más sobre

El nuevo Mi Notebook de Xiaomi llegará a India el 11 de junio

Seguridad en Internet: Cómo navegar por Internet de manera responsable y segura