Violazione dei dati del sito CSC ha esposto i dati di oltre 7 milioni di utenti BHIM

L’app di pagamento UPI popolare BHIM è recentemente in difficoltà a causa di una violazione dei dati del sito CSC che ha esposto i dati di oltre 7 milioni di utenti BHIM, inclusi molti dettagli finanziari e personali degli utenti.

Violazione dei dati del sito CSC ha esposto i dati di oltre 7 milioni di utenti BHIM

Quindi, ciò che è successo è che l’app BHIM memorizza i dati degli utenti su un sito web, e quel sito web era memorizzato in un server di archiviazione cloud mal configurato. Quindi non c’era un protocollo di sicurezza adeguato che potesse prevenire agli hacker di violare il server. Questo intero incidente è stato segnalato da vpnMentor, che è una società di cybersecurity con sede in Israele.

Ora il custode e sviluppatore del sito ufficiale di BHIM dove sono conservati i dati sensibili è apparentemente il Common Services Center (CSC) e-Governance Services LTD ed è anche parzialmente gestito dal governo indiano.

“Sembra che il CSC abbia istituito il sito web collegato al S3 Bucket mal configurato per promuovere l’uso di BHIM in tutta l’India e iscrivere nuove attività commerciali, come meccanici, agricoltori, fornitori di servizi e proprietari di negozi all’app. È difficile dire con precisione, ma il bucket S3 sembrava contenere registrazioni di un breve periodo: febbraio 2019. Tuttavia, anche in un lasso di tempo così breve, oltre 7 milioni di registrazioni erano state caricate ed esposte”, ha detto vpnMentor.

La violazione dei dati del sito CSC ha esposto dati di oltre 7 milioni di utenti BHIM e questi dati esposti sono di circa 409 GB e contengono informazioni sensibili come scansioni della carta Aadhaar con numero, nome, genere, data di nascita, numero PAN, ID UPI, copie scansionate di certificati religiosi e di casta, foto degli utenti insieme all’indirizzo di residenza, gradi professionali e certificati, screenshot di app finanziarie e bancarie, scansioni delle impronte digitali. Non è pazzesco e molto brutto che molti indiani abbiano avuto i loro dati sensibili trapelati?

Questa vulnerabilità del sito web è stata rilevata per la prima volta il 23 aprile e vpnMentor apparentemente si è rivolto al Computer Emergency and Response Team (CERT-In) il 28 aprile. Il CERT ha risposto alle segnalazioni il giorno successivo ed è stato detto che le falle nella sicurezza del sito web sono state risolte il 22 maggio.

Noam Rotem e Ran Locar, i ricercatori di cybersecurity che hanno scoperto la fuga di dati, hanno dichiarato: “Il volume stesso di dati sensibili e privati esposti, insieme agli ID UPI, scansioni di documenti e altro, rende questa violazione profondamente preoccupante. L’esposizione dei dati degli utenti BHIM è simile a un hacker che ottiene accesso all’intera infrastruttura dei dati di una banca, insieme alle informazioni sui conti di milioni dei suoi utenti.”

“La scala dei dati esposti è straordinaria, colpendo milioni di persone in tutta l’India e esponendole a frodi, furti e attacchi potenzialmente devastanti da parte di hacker e criminali informatici”, ha dichiarato la società di cybersecurity in un comunicato.

Questo è ciò che ha detto NPCI (National Payments Cooperation of India) riguardo alla violazione dei dati del sito CSC che ha esposto i dati di oltre 7 milioni di utenti BHIM: “Abbiamo trovato alcune notizie che suggeriscono una violazione dei dati nell’app BHIM. Vorremmo chiarire che non c’è stata alcuna compromissione dei dati nell’app BHIM e chiediamo a tutti di non cadere vittima di tali speculazioni. NPCI segue un alto livello di sicurezza e un approccio integrato per proteggere la propria infrastruttura e continuare a fornire un ecosistema di pagamenti robusto.”

Finora non ci sono stati casi di abuso dei dati trapelati degli utenti, ma gli utenti sono avvisati di non condividere alcun OTP, né rispondere a chiamate o email che richiedono i dettagli del proprio conto bancario e suggeriamo di fare lo stesso. È sempre meglio tenersi al sicuro, ma è semplicemente pazzesco che anche se segui tutti i protocolli di sicurezza, i tuoi dati siano ancora a rischio e questo è davvero molto triste.

Fonte | Via

Leggi di più su

Il nuovo Mi Notebook di Xiaomi in arrivo in India l’11 giugno

Sicurezza su Internet: come navigare in Internet in modo responsabile e sicuro