Catégories
Uncategorized

7,26 millions d’enregistrements de données BHIM ont été divulgués: rapport | WeForNews

New Delhi, 1er juin: des chercheurs en sécurité ont découvert qu’environ 7,26 millions d’enregistrements liés aux utilisateurs de l’application de facturation mobile BHIM ont été exposés au public par le site Web.

Les données affichées comprenaient des informations sensibles telles que le nom, la date de naissance, l’âge, le sexe, l’adresse du domicile, le statut du kata et les informations de la carte Aadhaar, entre autres, selon un rapport du site Web de révision VPN vpnMentor.

« La gamme de données affichées est remarquable, affectant des millions de personnes à travers l’Inde et les exposant à des escroqueries, des vols et des attaques potentiellement dévastateurs par des pirates informatiques et la cybercriminalité », ont écrit dimanche des chercheurs en sécurité dans un blog.

L’infraction a été clôturée à la fin du mois dernier après que les chercheurs ont contacté l’équipe indienne de secours informatique (CERT-In) deux fois par mois.

Le site Web BHIM en question a été développé par une société appelée CSC e-Governance Services LTD. en partenariat avec le gouvernement indien.

« Dans ce cas, les données sont stockées sur un compartiment non sécurisé d’Amazon Web Services (AWS) S3 », ont déclaré les chercheurs, ajoutant que les bacs S3 sont une forme populaire de stockage cloud dans le monde entier, mais obligent les développeurs à définir des protocoles de sécurité sur leurs comptes.

« Nous avons contacté les développeurs du site Web pour les informer de la mauvaise configuration de notre compartiment S3 et leur offrir notre aide. « Après ne pas avoir reçu de réponse, nous avons contacté l’équipe indienne de secours informatique (CERT-In), qui s’occupe de la cybersécurité dans le pays », ont-ils ajouté.

Le SCC semble avoir créé un site Web lié au henné Shan mal configuré pour promouvoir l’utilisation du BHIM à travers l’Inde et pour inscrire de nouvelles sociétés commerciales, telles que des mécaniciens, des agriculteurs, des fournisseurs de services et des propriétaires de magasins à l’application, une étude menée par vpnMentor Noam Rotem et Ran Locar.

La quantité de données exposées découvertes pour la première fois par des chercheurs en sécurité le 23 avril était de 409 Go.

« Il est difficile de le dire avec précision, mais il semble que le bac S3 contienne des enregistrements d’une courte période: février 2019. Cependant, même dans un délai aussi court, plus de 7 millions d’enregistrements ont été envoyés et exposés », indique le rapport.

« L’exposition des données de BHIM est similaire à un pirate accédant à l’ensemble de l’infrastructure de données de la banque, ainsi qu’à des millions de données sur ses utilisateurs », a-t-il ajouté.

Proposée par la National Payments Corporation of India (NPCI), l’application BHIM ou l’interface Bharat pour l’argent a été lancée en 2016.