2 Giugno 2020 - Tempo di lettura: 19 minuti
Oltre 7 milioni di record esposti, secondo vpnMentor, ma il produttore di app afferma che non vi è alcun segno di uso dannoso.
I dati appartenenti a milioni di cittadini indiani che si erano registrati per un'app di pagamento mobile chiamata BHIM potrebbero essere stati messi a rischio di uso improprio dopo essere stati esposti e non crittografati in un bucket di archiviazione Amazon S3 non configurato correttamente.
I ricercatori del servizio di revisione VPN vpnMentor hanno recentemente scoperto il bucket S3 collegato a un sito Web che viene utilizzato per promuovere l'adozione dell'app di pagamento e per iscrivere nuovi utenti individuali e attività commerciali.
In un rapporto, vpnMentor ha descritto il bucket di archiviazione come contenente 409 GB di dati che rappresentano circa 7,26 milioni di record contenenti informazioni necessarie per aprire un account BHIM. I dati includevano scansioni di carte d'identità nazionali; foto utilizzate come prova di residenza; certificati, titoli e diplomi professionali; e nomi, data di nascita e religione. Inoltre, nel set di dati sono stati inclusi i numeri ID per programmi governativi e identificatori biometrici come scansioni di impronte digitali.
I dati personali dell'utente contenuti nel set di dati hanno fornito "un profilo completo delle persone, delle loro finanze e dei documenti bancari", ha detto vpnMentor. "Avere dati finanziari così sensibili di dominio pubblico o nelle mani di hacker criminali renderebbe incredibilmente facile ingannare, frodare e rubare alle persone esposte", ha osservato.
Oltre ai dati sugli individui, il bucket S3 conteneva anche "enormi elenchi CSV" con informazioni sui commercianti che si erano registrati per il BHIM e gli ID utilizzati dai proprietari delle imprese per effettuare trasferimenti di pagamento tramite l'app. ID simili appartenenti a oltre 1 milione di persone potrebbero anche essere stati potenzialmente esposti tramite il bucket S3 non configurato correttamente. Tali ID rendono molto più facile per gli hacker l'accesso illegale ai conti bancari appartenenti alle persone colpite da vpnMentor.
La National Payments Corporation of India (NPCI), che ha lanciato il BHIM nel 2016, lunedì ha tuttavia negato che tutti i dati degli utenti fossero stati compromessi e ha esortato i suoi utenti a non cadere in preda a ciò che ha descritto come notizie speculative. L'organizzazione ha affermato di aver seguito pratiche altamente sicure e un "approccio integrato" per proteggere la sua infrastruttura di pagamento e i dati degli utenti.
BHIM - abbreviazione di Bharat Interface for Money - è progettato per consentire a persone e aziende di effettuare pagamenti bancari diretti. Una caratteristica chiave dell'app è che consente agli utenti di avviare transazioni senza dover inserire ogni volta informazioni bancarie e altri dati sensibili. Secondo l'NPCI, la versione Android dell'app ha quasi 134 milioni di download e la versione iOS ha 2,8 milioni di download ad aprile 2020.
L'incidente segnalato che coinvolge BHIM è l'ultimo esempio di esposizione di dati risultante da un bucket AWS S3 mal configurato. Negli ultimi anni, c'è stato un flusso praticamente infinito di violazioni altrettanto massicce.
A marzo, vpnMentor ha riferito di aver scoperto oltre 500.000 documenti, inclusi rapporti di credito, documenti legali, estratti conto bancari e informazioni sulla patente di guida relative a un'app mobile sviluppata da Advantage Capital Funding e Argus Capital Funding, in un bucket S3 aperto. L'anno scorso, il fornitore di gestione del rischio Upguard ha riferito di aver trovato dati appartenenti a milioni di clienti della Lion Air thailandese e di due delle sue consociate in un bucket di archiviazione AWS. A febbraio, UpGuard ha nuovamente scoperto i dati su 120 milioni di clienti al dettaglio seduti in un contenitore cloud AWS dopo che una società di analisi di mercato li ha inseriti.
Spesso le violazioni sono derivate da errori di configurazione di base, come rendere privato il bucket e impostare i controlli di autenticazione. La mancanza di una corretta comprensione tra gli amministratori su come funzionano le impostazioni per le liste di controllo degli accessi e altre politiche che regolano l'accesso ai bucket S3 è un altro problema che i ricercatori hanno notato. L'ampia disponibilità di strumenti che semplificano la ricerca di bucket di archiviazione errati o facilmente compromessi ha acuito il problema, hanno osservato.
Secondo vpnMentor, ha scoperto il set di dati BHIM in aprile e ha informato lo sviluppatore del sito Web a cui era collegato. Quando non ha ricevuto una risposta, la società ha contattato il team indiano di risposta alle emergenze informatiche in aprile. Ma è stato solo dopo che vpnMentor ha contattato nuovamente il team indiano CERT a maggio che la violazione è stata risolta, ha affermato la società.
Azienda/Website: http://cscbhim.in/
Localizzazione: India
Settore: Mobile banking; e-payments; personal finance
Dimensione dati in gigabytes: 409 GB
N. di records: ~7.26 milioni
N. di persone esposte: Milioni
Geografia: Tutta la nazione indiana
Tipi di dati: PII data
Impatto: ladri di identità, frodi, attacchi virali
Formato dati: AWS S3 bucket