Утечка данных с сайта CSC раскрыла данные более 7 миллионов пользователей BHIM

Популярное приложение для платежей UPI BHIM недавно оказалось в беде, так как утечка данных с сайта CSC раскрыла данные более 7 миллионов пользователей BHIM, включая множество финансовых и личных данных пользователей.

Утечка данных с сайта CSC раскрыла данные более 7 миллионов пользователей BHIM

Итак, что произошло: приложение BHIM хранит данные пользователей на сайте, и этот сайт был размещен на неправильно настроенном облачном сервере хранения. Таким образом, не было надлежащего протокола безопасности, который мог бы предотвратить взлом сервера. Об этом инциденте сообщила vpnMentor, которая является фирмой по кибербезопасности, базирующейся в Израиле.

Теперь за сайт BHIM, где хранятся чувствительные данные, отвечает, по всей видимости, Центр общих услуг (CSC) e-Governance Services LTD, и он также частично управляется правительством Индии.

“Похоже, CSC создал сайт, связанный с неправильно настроенным S3 Bucket, чтобы продвигать использование BHIM по всей Индии и регистрировать новые торговые предприятия, такие как механики, фермеры, поставщики услуг и владельцы магазинов, на приложение. Трудно сказать точно, но S3 bucket, похоже, содержал записи за короткий период: февраль 2019 года. Тем не менее, даже за такой короткий промежуток времени было загружено и раскрыто более 7 миллионов записей”, - сказал vpnMentor.

Утечка данных с сайта CSC раскрыла данные более 7 миллионов пользователей BHIM, и эти раскрытые данные имеют размер около 409 ГБ и содержат чувствительную информацию, такую как сканы карты Aadhaar с номером, именем, полом, датой рождения, номером PAN, UPI ID, отсканированные копии религиозных и кастовых сертификатов, фотографии пользователей вместе с адресом проживания, профессиональные степени и сертификаты, скриншоты финансовых и банковских приложений, сканы отпечатков пальцев. Разве это не безумие и очень плохо, что у многих индийцев утекли их чувствительные данные?

Эта уязвимость сайта была впервые обнаружена 23 апреля, и vpnMentor, по всей видимости, обратился в Команду по реагированию на компьютерные чрезвычайные ситуации (CERT-In) 28 апреля. CERT ответила на жалобы на следующий день, и сообщается, что уязвимости в безопасности сайта были устранены 22 мая.

Ноам Ротем и Ран Локар, исследователи в области кибербезопасности, которые обнаружили утечку данных, сказали: “Огромный объем чувствительных, частных данных, которые были раскрыты, вместе с UPI ID, сканами документов и многим другим, делает эту утечку глубоко тревожной. Утечка данных пользователей BHIM подобна тому, как хакер получает доступ к всей инфраструктуре данных банка вместе с информацией о счетах миллионов его пользователей.”

“Масштаб раскрытых данных необычайный, затрагивая миллионы людей по всей Индии и подвергая их потенциально разрушительному мошенничеству, краже и атакам со стороны хакеров и киберпреступников”, - говорится в заявлении кибербезопасной фирмы.

Вот что NPCI (Национальная кооперация по платежам Индии) сказала об утечке данных с сайта CSC, раскрывающей данные более 7 миллионов пользователей BHIM: “Мы столкнулись с некоторыми новостными отчетами, которые предполагают утечку данных в приложении BHIM. Мы хотели бы прояснить, что компрометации данных в приложении BHIM не было, и просим всех не поддаваться таким спекуляциям. NPCI следует высокому уровню безопасности и интегрированному подходу для защиты своей инфраструктуры и продолжает предоставлять надежную платежную экосистему.”

На данный момент не было случаев злоупотребления утечкой данных пользователей, но пользователям рекомендуется не делиться никакими OTP, а также не отвечать на звонки или электронные письма, которые запрашивают данные вашего банковского счета, и мы советуем вам делать то же самое. Всегда лучше заботиться о своей безопасности, но это просто безумие, что даже если вы следуете всем протоколам безопасности, ваши данные все равно находятся под угрозой, и это просто очень печально.

Источник | По ссылке

Читать далее о

Новом ноутбуке Mi от Xiaomi, который поступит в Индию 11 июня

Безопасность в Интернете: как ответственно и безопасно пользоваться интернетом