Violation de données du site CSC exposant les données de plus de 7 millions d'utilisateurs de BHIM

L’application de paiement UPI populaire BHIM est récemment en difficulté en raison d’une violation de données du site CSC qui a exposé les données de plus de 7 millions d’utilisateurs de BHIM, y compris de nombreux détails financiers et personnels des utilisateurs.

Violation de données du site CSC exposant les données de plus de 7 millions d’utilisateurs de BHIM

Alors, que s’est-il passé ? L’application BHIM stocke les données des utilisateurs sur un site web, et ce site était stocké sur un serveur de stockage cloud mal configuré. Il n’y avait donc pas de protocole de sécurité adéquat pour empêcher les hackers de pénétrer dans le serveur. Cet incident a été rapporté par vpnMentor, qui est une entreprise de cybersécurité basée en Israël.

Maintenant, le gestionnaire et développeur du site officiel de BHIM où les données sensibles sont conservées est apparemment le Common Services Center (CSC) e-Governance Services LTD et il est également en partie géré par le gouvernement indien.

“Il semble que le CSC ait établi le site web connecté au S3 Bucket mal configuré pour promouvoir l’utilisation de BHIM à travers l’Inde et inscrire de nouvelles entreprises commerçantes, telles que des mécaniciens, des agriculteurs, des prestataires de services et des propriétaires de magasins sur l’application. Il est difficile de dire précisément, mais le S3 bucket semblait contenir des enregistrements d’une courte période : février 2019. Cependant, même dans un si court laps de temps, plus de 7 millions d’enregistrements avaient été téléchargés et exposés”, a déclaré vpnMentor.

La violation de données du site CSC a exposé les données de plus de 7 millions d’utilisateurs de BHIM et ces données exposées font environ 409 Go et contiennent des informations sensibles telles que des scans de carte Aadhaar avec le numéro, le nom, le sexe, la date de naissance, le numéro PAN, les identifiants UPI, des copies scannées de certificats religieux et de caste, des photos d’utilisateurs avec l’adresse résidentielle, des diplômes professionnels et des certificats, des captures d’écran d’applications financières et bancaires, des scans d’empreintes digitales. N’est-ce pas fou et très mauvais que de nombreux Indiens aient vu leurs données sensibles fuiter ?

Cette vulnérabilité du site web a été détectée pour la première fois le 23 avril et vpnMentor a apparemment contacté l’équipe d’intervention d’urgence informatique (CERT-In) le 28 avril. Le CERT a répondu aux plaintes le lendemain et il est dit que les failles de sécurité du site web ont été corrigées le 22 mai.

Noam Rotem et Ran Locar, les chercheurs en cybersécurité qui ont découvert la fuite de données, ont déclaré : “Le volume même de données sensibles et privées exposées, ainsi que les identifiants UPI, les scans de documents et plus encore, rend cette violation profondément préoccupante. L’exposition des données des utilisateurs de BHIM est comparable à un hacker accédant à l’ensemble de l’infrastructure de données d’une banque, ainsi qu’aux informations de compte de millions de ses utilisateurs.”

“L’ampleur des données exposées est extraordinaire, touchant des millions de personnes à travers l’Inde et les exposant à des fraudes, des vols et des attaques potentiellement dévastateurs de la part de hackers et de criminels cybernétiques”, a déclaré l’entreprise de cybersécurité dans un communiqué.

Voici ce que le NPCI (National Payments Cooperation of India) a dit à propos de la violation de données du site CSC exposant les données de plus de 7 millions d’utilisateurs de BHIM : “Nous avons pris connaissance de certains rapports d’actualités qui suggèrent une violation de données sur l’application BHIM. Nous tenons à clarifier qu’il n’y a eu aucune compromission de données sur l’application BHIM et demandons à tout le monde de ne pas céder à de telles spéculations. Le NPCI suit un niveau élevé de sécurité et une approche intégrée pour protéger son infrastructure et continuer à fournir un écosystème de paiements robuste.”

Jusqu’à présent, il n’y a eu aucun cas d’utilisation abusive des données fuitées des utilisateurs, mais les utilisateurs sont avertis de ne pas partager de code OTP, ni de répondre à des appels ou des e-mails qui demandent les détails de leur compte bancaire et nous vous suggérons de faire de même. Il est toujours préférable de rester en sécurité, mais c’est juste fou que même si vous suivez tous les protocoles de sécurité, vos données soient toujours à risque et c’est juste très triste.

Source | Via

En savoir plus sur

Le nouveau Mi Notebook de Xiaomi se dirige vers l’Inde le 11 juin

Sécurité Internet : Comment naviguer sur Internet de manière responsable et sécurisée