CSC 웹사이트 데이터 유출로 700만 명 이상의 BHIM 사용자 데이터 노출

인기 UPI 결제 앱 BHIM이 최근 CSC 웹사이트의 데이터 유출로 인해 700만 명 이상의 BHIM 사용자 데이터가 노출되었으며, 여기에는 많은 재정 및 개인 정보가 포함되어 있습니다.

CSC 웹사이트 데이터 유출로 700만 명 이상의 BHIM 사용자 데이터 노출

무슨 일이 있었냐면, BHIM 앱은 사용자 데이터를 웹사이트에 저장하고 있으며, 그 웹사이트는 잘못 구성된 클라우드 저장 서버에 저장되어 있었습니다. 따라서 해커가 서버를 침해하는 것을 방지할 수 있는 적절한 보안 프로토콜이 없었습니다. 이 전체 사건은 이스라엘에 본사를 둔 사이버 보안 회사인 vpnMentor에 의해 보고되었습니다.

현재 민감한 데이터가 보관된 공식 BHIM 웹사이트의 관리자는 Common Services Center(CSC) e-Governance Services LTD이며, 이는 인도 정부에 의해 부분적으로 관리되고 있습니다.

“CSC가 BHIM 사용을 촉진하고 새로운 상인 비즈니스(예: 정비사, 농부, 서비스 제공자 및 상점 소유자)를 앱에 등록하기 위해 잘못 구성된 S3 버킷에 연결된 웹사이트를 설정한 것으로 보입니다. 정확히 말하기는 어렵지만, S3 버킷에는 2019년 2월의 짧은 기간 동안의 기록이 포함된 것으로 보입니다. 그러나 그렇게 짧은 시간 내에도 700만 개 이상의 기록이 업로드되어 노출되었습니다”라고 vpnMentor가 말했습니다.

CSC 웹사이트의 데이터 유출로 700만 명 이상의 BHIM 사용자 데이터가 노출되었으며, 이 노출된 데이터는 약 409GB 크기로, Aadhaar 카드의 스캔, 번호, 이름, 성별, 생년월일, PAN 번호, UPI ID, 종교 및 계급 증명서의 스캔 사본, 사용자 사진 및 거주 주소, 전문 학위 및 증명서, 금융 및 은행 앱의 스크린샷, 지문 인상의 스캔과 같은 민감한 정보를 포함하고 있습니다. 많은 인도인의 민감한 데이터가 유출된 것은 정말 미친 일이 아닐까요?

이 웹사이트의 전체 취약성은 4월 23일에 처음 발견되었으며, vpnMentor는 4월 28일에 컴퓨터 비상 대응 팀(CERT-In)에 접근한 것으로 보입니다. CERT는 다음 날 불만에 응답했으며, 웹사이트 보안의 허점은 5월 22일에 제거된 것으로 알려졌습니다.

데이터 유출을 발견한 사이버 보안 연구원인 Noam Rotem과 Ran Locar는 다음과 같이 말했습니다: “노출된 민감하고 개인적인 데이터의 양, UPI ID, 문서 스캔 등이 결합되어 이 유출 사건은 매우 우려스럽습니다. BHIM 사용자 데이터의 노출은 해커가 은행의 전체 데이터 인프라와 수백만 사용자의 계좌 정보에 접근하는 것과 같습니다.”

“노출된 데이터의 규모는 엄청나며, 인도 전역의 수백만 명에게 영향을 미치고 있으며, 해커와 사이버 범죄자로부터 잠재적으로 파괴적인 사기, 도난 및 공격에 노출되고 있습니다,”라고 사이버 보안 회사가 성명에서 밝혔습니다.

NPCI(인도 국가 결제 협회)는 CSC 웹사이트 데이터 유출로 700만 명 이상의 BHIM 사용자 데이터가 노출된 것에 대해 다음과 같이 말했습니다: “우리는 BHIM 앱의 데이터 유출을 제안하는 일부 뉴스 보도를 접했습니다. BHIM 앱에서 데이터가 유출된 적이 없음을 명확히 하고 싶으며, 누구에게도 이러한 추측에 속지 말 것을 요청합니다. NPCI는 인프라를 보호하기 위해 높은 수준의 보안과 통합된 접근 방식을 따르며, 강력한 결제 생태계를 지속적으로 제공합니다.”

지금까지 유출된 사용자 데이터의 악용 사례는 없지만, 사용자들은 어떤 OTP도 공유하지 말고, 은행 계좌 정보를 요청하는 전화나 이메일에 응답하지 말 것을 경고받고 있으며, 여러분도 그렇게 하는 것이 좋습니다. 항상 자신을 안전하게 지키는 것이 좋지만, 모든 안전 프로토콜을 따르더라도 데이터가 여전히 위험에 처해 있다는 것은 정말 슬픈 일입니다.

출처 | 경유

더 알아보기

샤오미의 새로운 Mi 노트북이 6월 11일 인도로 향합니다

인터넷 안전: 책임감 있고 안전하게 인터넷을 탐색하는 방법