CSCウェブサイトのデータ侵害が700万人以上のBHIMユーザーのデータを露出

人気のUPI決済アプリBHIMは、最近CSCウェブサイトのデータ侵害により700万人以上のBHIMユーザーのデータが露出し、多くの財務および個人情報が含まれているため、問題に直面しています。

CSCウェブサイトのデータ侵害が700万人以上のBHIMユーザーのデータを露出

何が起こったかというと、BHIMアプリはユーザーデータをウェブサイトに保存しており、そのウェブサイトは誤って設定されたクラウドストレージサーバーに保存されていました。したがって、ハッカーがサーバーに侵入するのを防ぐ適切なセキュリティプロトコルはありませんでした。この全体の事件は、イスラエルに本拠を置くサイバーセキュリティ会社vpnMentorによって報告されています。

現在、機密データが保管されている公式BHIMウェブサイトの管理者および開発者は、明らかにCommon Services Center（CSC）e-Governance Services LTDであり、インド政府によって部分的に管理されています。

「CSCは、BHIMの使用をインド全体で促進し、新しい商業者、例えばメカニック、農家、サービスプロバイダー、店舗オーナーをアプリに登録するために、誤って設定されたS3バケットに接続されたウェブサイトを設立したようです。正確には言えませんが、S3バケットには2019年2月の短期間の記録が含まれているようでした。しかし、そのような短期間の中でも、700万件以上の記録がアップロードされ、露出していました」とvpnMentorは述べています。

CSCウェブサイトのデータ侵害は700万人以上のBHIMユーザーのデータを露出し、この露出したデータは約409GBのサイズで、Aadhaarカードのスキャン、番号、名前、性別、生年月日、PAN番号、UPI ID、宗教およびカースト証明書のスキャンコピー、ユーザーの写真、居住住所、専門的な学位および証明書、金融および銀行アプリのスクリーンショット、指紋のスキャンなどの機密情報が含まれています。多くのインド人がそのような機密データを漏洩されたのは、非常に悪いことではありませんか？

このウェブサイトの全体的な脆弱性は、4月23日に最初に検出され、vpnMentorは4月28日にコンピュータ緊急対応チーム（CERT-In）にアプローチしたようです。CERTは翌日に苦情に応じ、ウェブサイトのセキュリティの抜け穴は5月22日に取り除かれたと言われています。

データ漏洩を発見したサイバーセキュリティ研究者のノアム・ローテムとラン・ロカールは次のように述べています。「露出された機密のプライベートデータの膨大な量は、UPI ID、文書のスキャンなどとともに、この侵害を非常に懸念させるものにしています。BHIMユーザーデータの露出は、ハッカーが銀行の全データインフラにアクセスし、数百万のユーザーのアカウント情報を得ることに等しいです。」

「露出されたデータの規模は並外れており、インド全体で数百万人に影響を及ぼし、ハッカーやサイバー犯罪者からの潜在的に壊滅的な詐欺、盗難、攻撃にさらしています」とサイバーセキュリティ会社は声明で述べています。

これがNPCI（インド国立決済公社）がCSCウェブサイトのデータ侵害について700万人以上のBHIMユーザーのデータを露出したことについて述べたことです。「BHIMアプリでのデータ侵害を示唆するいくつかのニュース報道に出くわしました。BHIMアプリでのデータの妥協はないことを明確にしたいと思います。誰もがそのような憶測に陥らないようお願い申し上げます。NPCIは、高いレベルのセキュリティと統合的なアプローチを採用して、そのインフラを保護し、堅牢な決済エコシステムを提供し続けています。」

これまでのところ、漏洩したユーザーデータの悪用のケースはありませんが、ユーザーにはOTPを共有しないよう、また銀行口座の詳細を求める電話やメールに応じないよう警告されています。同様のことをすることをお勧めします。常に自分を安全に保つことが重要ですが、すべての安全プロトコルに従っても、データがリスクにさらされているのは非常に悲しいことです。

出典 | 経由

続きを読む

シャオミの新しいMiノートブックが6月11日にインドに向けて出発

インターネットの安全性：責任を持って安全にインターネットを閲覧する方法