Disclosure:
联盟委员会

虽然VPnmentor可以在使用我们的链接进行购买时收到佣金,但这对评论内容或审查的产品/服务没有影响。我们提供直接链接,以购买作为附属计划的一部分的产品。

• Ownership

VPnmentor由Kape Technologies PLC拥有,拥有以下产品:Cyber​​Ghost,Zenmate,私人互联网接入和Intego,可以在本网站上进行审核。

•专业评论

VPnmentor包含由我们的社区审核人员撰写的评论,并根据审阅者的独立和专业审查产品/服务。

• Reviews Guidelines

VPnmentor上发布的审查由专家撰写,根据我们的严格审查标准来检查产品。此类标准确保每次审查都基于对审核人的独立,专业和诚实的审查,并考虑了产品的技术能力和品质,以及用户的商业价值,也可能影响该产品在网站上的排名。

报告:印度电子付款应用程序在大规模数据泄露中公开了数百万用户

由NOAM ROTEM和RAN LOCAR领导, vpnmentor. 研究团队发现了大量的 敏感的财务数据从连接到印度的移动支付App Bhim的网站泄露,接触公众。

该网站正在使用 签署广告签署大量用户和商业商家的活动 来自印度的社区。 来自此广告系列的所有相关数据都存储在错误配置的亚马逊Web服务S3桶上 并公开访问。

暴露数据的规模是非凡的, 影响着数百万人在印度 并将其暴露于潜在的欺诈,盗窃和来自黑客和网络犯罪分子的攻击。

数据泄露总结

公司网站 http://cscbhim.in/
位于 印度
行业 手机银行;电子付款;个人财务
千兆字节中的数据大小 409 GB
估计没有。文件 〜726万
暴露的人数 百万
地理范围 全国范围内的印度
暴露的数据类型 PII数据,
潜在影响 身份盗窃,欺诈,盗窃,病毒攻击
数据存储格式 AWS S3桶

应用程序和公司简介

Bhim代表Bharat接口进行金钱, 印度移动付款应用程序于2016年推出 由非营利性商业财团,印度国家支付公司(NPCI)。

在印度的无现金交易方面更广泛的一部分, Bhim是开发的,以便于来自用户手机的银行账户之间的即时电子付款和货币转移。

该应用程序基于统一支付接口(UPI)技术,也由NPCI开发,以促进印度的更好的银行间转让。 UPI为个人用户分配一个唯一的ID号,然后用于在任何相关财务应用程序上发送和接收金钱。

私人,企业和其他商业缔约方之间的交易可能会发生。

到2017年,印度约有1250万个Bhim用户, 在未来几年内集生长。到2020年,NPCI录得超过1.36亿超过BHIM应用程序。

基于我们的研究,涉及CSC电子治理服务有限公司的公司开发的Bhim网站。与印度政府合作。

发现和所有者反应的时间表

有时,暴露的数据的程度和数据的所有者是显而易见的,问题很快就解决了。但罕见的是这些时间。最常见的是,我们需要几天的调查,并在理解股权或泄露数据时。

了解违规行为及其潜在影响需要时间和仔细关注。 我们努力发布准确和值得信赖的报告,确保每个读它们的人都了解他们的严重性。

一些受影响的缔约方否认了事实,无视我们的研究,或扮演它的影响。所以,我们需要彻底和 确保我们发现的一切都是正确的准确性。

在这种情况下,数据存储在不安全的Amazon Web服务(AWS)S3存储桶上。 S3桶是全球流行的云存储形式,但需要开发人员在其帐户上设置安全协议。

曝光的S3桶被标记为“CSC-BHIM”,我们的团队很快能够将网站“www.cscbhim.in”背后的开发人员识别为数据的所有者。

鉴于数据泄露的严重性, 我们联系了印度的计算机应急响应团队(Cert-In),该团队涉及该国的网络安全。 

经过一段时间,它出现了证书没有干预,所以我们伸向网站的开发人员直接向他们的S3桶中的错误配置通知,并提供我们的帮助。但是,我们也没有从开发人员收到的回复。

很多几周后,我们第二次联系了Cert-in Cert-inst-inst。 此后不久,违规是关闭的。

  • 发现日期: 2020年4月23日
  • DAY CERT联系: 28th April 2020
  • CERT的响应日期: 29th April 2020
  • 日期公司联系: 5th May 2020
  • 第二次与证书联系日期: 2020年5月22日
  • 行动日期: 约。 2020年5月22日

数据条目的示例

它似乎CSC建立了连接到错误配置的S3桶的网站 促进印度的Bhim使用,并注册新商家企业,如机械师,农民,服务提供商,并将所有者存放到应用程序上。

很难准确地说,但S3桶似乎包含短期内容:2019年2月。但是,即使在这样的短时间内, 超过700万张文件已上传和暴露。

这些文件是 高度敏感,包括在BHIM上开设帐户所需的许多文件, such as:

  • Aadhaar卡的扫描 - 印度的国家身份证
  • 种姓证书的扫描
  • 照片用作住宅证明
  • 专业证书,学位和文凭
  • 在金融和银行应用程序中采取的屏幕截图作为基金转移证明
  • 永久帐号(PAN)卡(与印度所得税服务相关)

这些文档中的私人个人用户数据给出了 个人,财务和银行记录的完整档案:

  • 名称
  • 出生日期
  • 年龄
  • 性别
  • 家庭地址
  • 宗教
  • 种姓状态
  • 生物统计学细节
  • 配置文件和ID照片,如指纹扫描
  • 政府计划和社会保障服务的身份证号码

根据我们的研究,S3桶 还包含未成年人的文件和PII数据, 有一些属于18岁以下人员的记录。

以下是存储在错误配置的S3桶中的文档扫描的一个小样本:

此外,S3桶包含 Mashant业务列表签署了Bhim,以及业主的UPI ID号。

相似的 个人应用程序用户及其UPI ID的CSV列表,超过100万这些条目, were also exposed.

UPI支付系统在许多方面与银行账户类似。 对黑客来说,这将是非常有价值的,让他们访问有关一个人财务和银行账户的大量信息。此数据将非法访问这些帐户更容易。

S3桶还包含Android应用程序包(APK), Android操作系统用于分发和安装应用程序的文件格式。 AWS密钥对等同于Amazon的基础架构中的管理员用户/密码,可能会使持有者对所有数据的关键访问权限,启动和停止服务器的能力,访问S3存储桶的控件等。我们没有测试凭据,但即使他们的存在也是安全设计实践的令人担忧的迹象。

数据泄露影响

敏感的敏感,私有数据普及,以及UPI ID,文档扫描等,这突破了这突破。

Bhim用户数据的曝光类似于黑客获得对银行的整个数据基础架构的访问,以及数百万用户的帐户信息。

在公共领域或刑事黑客手中具有如此敏感的财务数据将使它令人难以置信地欺骗,欺骗和偷窃所暴露的人。

网络犯罪分子可以在许多方面结合数据,具有以下非法目标:

身份盗窃 -  使用一个人的PII数据和银行记录采用他们的身份并使用它来申请贷款,使非法购买,犯罪等等。

税务欺诈 - 与身份盗窃类似,使用某人的税务细节伪造记录并进行欺诈性索赔。

盗窃 -  黑客可以通过应用程序访问Bhim账户并撤回大笔资金。

欺诈罪 - 通过向用户发送文本或电子邮件模仿业务和朋友,欺骗用户通过应用程序发送资金。

在发展中国家的电子支付平台及其用户是欺诈和盗窃的热门目标。 用户通常缺乏金融教育和认识,就像上面列出的那些诈骗者的工作。他们可以轻松欺骗和欺骗专业的欺诈者和刑事戒指。

我们的研究还建议,一些暴露的Bhim用户是未成年人,他们将特别容易受到欺诈计划的影响。

考虑到暴露的数据量 - 超过700万个文件 - 以及Bhim的用户群的整体大小, 黑客和网络犯罪分子只需要成功地欺骗和窃取犯罪计划的小百分比,以获得有利可图,值得。

私人数据的曝光也可能 有助于对印度公共,政府机构和技术公司之间的信任更广泛恶化。 数据隐私对于来自社会各节的人来说是一个巨大的关注点,许多人可能不愿意通过与这种丑闻相关的软件工具。

由于印度政府正在积极参与全国各地的Bhim等UPI应用程序,因此他们通过协会的有害暴露以及群众的进一步不满。

对于CSC和BHIM应用程序

CSC的最直接风险和Bhim的开发人员是 如果人们不再信任所涉及的公司,则失去用户 保护他们的数据。

尽管使用来自独立网站的数据违约,但在将来,将来可能更难以在将来签署到服务,以便在使用的故事和谣言传播。 印度在像Whatsapp这样的平台上经历了许多问题,这种情况与Whatsapp这样的平台,正如整个冠状病毒疫情所证明的那样

虽然印度不保持强大的数据隐私法和保护,但 CSC和Bhim仍然可能面临监管问题和调查,因为错误配置的S3桶。 鉴于政府的参与,他们无疑希望尽量减少任何潜在的损害和负面印刷机。

Bhim只是在印度运营的众多电子支付平台之一, 包括谷歌支付。此数据泄露将有助于许多竞争对手吸引客户,破坏BHIMS市场份额。

可能,这种数据违规的最具破坏性方面是 曝光S3桶的APK。熟练的黑客可以使用它来攻击CSC的BHIM云存储基础架构,并使用恶意软件,间谍软件和更多目标。

这种攻击可能对BHIM应用程序及其更广泛的用户群产生毁灭性的影响,这难以预测大小和严重程度。

专家的建议

CSC / BHIM网站的开发人员可以很容易地避免泄露用户数据 如果他们采取了一些基本的安全措施来保护数据。这些包括但不限于:

  1. 保护其服务器。
  2. 实现适当的访问规则。
  3. 切勿留下不需要对互联网打开身份验证的系统。

任何公司都可以复制相同的步骤,无论其大小。

有关如何保护您的业务的更深入的指南, 看看我们的 保护您网站的指南 和来自黑客的在线数据库。

确保打开的S3桶

值得注意的是,开放式公开可观看的S3桶不是AWS的缺陷。 它们通常是桶所有者错误的结果。亚马逊为AWS用户提供了详细的说明,以帮助他们保护S3存储桶并将其保留私密。

在这种情况下,修复此错误的最快方式是:

  • 使桶私有并添加身份验证协议。
  • 遵循AWS访问和身份验证最佳实践。
  • 向他们的S3存储桶添加更多的保护层,以进一步限制谁可以从每个入口点访问它。

对于Bhim用户

如果您关注这种违规可能会影响您的影响, 直接联系CSC电子治理服务,找出解决问题的步骤,并保持数据安全。

要了解数据漏洞一般, 读我们 在线隐私的完整指南.

它向您展示了网络犯罪分子目标互联网用户的许多方式,以及您可以保持安全的步骤。

我们如何以及为什么发现违规行为

VPnmentor Research团队在CSC的S3桶中发现了错误配置,作为巨大的Web映射项目的一部分。 我们的研究人员使用端口扫描来检查特定的IP块并测试不同的系统以获取弱点或漏洞。他们检查每个被暴露的数据的每个弱点。

我们的团队能够访问这个 S3 bucket 因为它是完全不安全和未加密的。

每当我们找到数据违约或类似问题时, 我们使用专家技术来验证数据的所有者, 通常是商业公司。

作为道德黑客, 当我们在线安全发现缺陷时,我们有义务通知一家公司。 我们伸出CSC,不仅要让他们了解漏洞,还可以建议他们可以使其系统安全的方式。

这些道德也意味着我们对公众承担责任。 必须让Bhim用户意识到它们的敏感性很大是暴露的数据。

此Web映射项目的目的是提供帮助 让互联网更安全为所有用户。

我们  切勿销售,存储或公开任何信息 我们在安全研究期间遇到。

关于我们和之前的报告

vpnmentor. 是世界上最大的VPN审查网站。 我们的研究实验室是一项促进BONO服务,努力帮助在线社区在教育组织保护其用户数据时捍卫网络威胁。

我们的道德安全研究团队已经发现并披露了近年来一些最有影响力的数据泄漏。

这包括一个巨大的数据泄漏 将1000多名美国能源部门工人融为欺诈。 我们还透露,两家印度金融服务公司是 泄露属于客户的敏感数据。 你也可能想读过我们的 VPN泄漏报告和数据隐私统计报告.

编辑注意:

通过BHIM澄清,我们希望强调以下几点:

- 泄漏的来源不是Bhim应用程序本身,而是由CSC运营并显示BHIM徽标的网站,该网站旨在招募用户到Bhim。

- 该网站由CSC,印度政府实体运营,而CSC明确提及其与Bhim和NPCI合作,网站不属于Bhim。

[出版日期:29.04.2020]

关于作者

为VPnmentor写的匿名专家,但保留他们的身份秘密。

你喜欢这篇文章吗?评分!
我讨厌它! 我真的不喜欢它 这个还行吧 非常好! 爱它!
Voted by 用户
感谢您的反馈意见
Comment 注释必须是5到2500个字符。