Une violation de données sur une application de paiement promue par le gouvernement BHIM en Inde a entraîné la divulgation de certaines données personnelles très sensibles de plus de 7 millions de personnes. La vulnérabilité et l'exposition des données ont été mises en évidence par une société de cybersécurité israélienne.
Le site Web du BSCI du SCC est utilisé pour les transactions financières par le biais d'une interface de paiement unifiée (UPI) dans le cadre des initiatives d'accès numérique du gouvernement fédéral dans les villages. Le projet BHIM a été initialement lancé pour stimuler les paiements numériques pour les commerçants à travers l'Inde rurale. L'application a été développée par la National Payment Corporation of India, une entreprise d'État.
Mise à jour:
Entre-temps, le NPCI a nié toute violation de la sécurité ayant compromis les données des utilisateurs. «Nous avons rencontré des reportages qui suggèrent une violation des données sur l'application BHIM. Nous tenons à préciser qu'il n'y a pas eu de compromis sur les données à BHIM App et demandons à tout le monde de ne pas être la proie de telles spéculations. NPCI suit un haut niveau de sécurité et une approche intégrée pour protéger son infrastructure et continuer à fournir un écosystème de paiement robuste », a déclaré le communiqué de NPCI.
L'agence israélienne de cybersécurité vpnMentor, qui a découvert la violation de données, a déclaré que plus de 400 Go de données utilisateur étaient compromises, notamment des détails sur les enregistrements Aadhar, les certificats de caste et d'autres données personnelles qui pourraient être utilisées pour identifier des personnes et des entreprises.
La société a affirmé que le pirate détiendrait désormais des données complètes sur les utilisateurs et les a comparées à l'accès à l'infrastructure de données d'une banque avec toutes les informations de compte d'utilisateur. Il a déclaré que la vulnérabilité avait été détectée pour la première fois le 23 avril et aurait été corrigée près d'un mois plus tard le 22 mai.
Bien qu'il n'y ait aucune preuve pour indiquer que l'application BHIM elle-même fuyait des données ou que le système UPI n'était pas sécurisé, l'agence de sécurité dit que des recherches supplémentaires sont nécessaires pour mettre en évidence les vulnérabilités afin que les menaces futures puissent être évitées.
Ironiquement, les nouvelles de la violation surviennent lorsque #CSCSocialMediaDay a fait une tendance sur Twitter.
#CSCSocialMediaDay #CSCSocialMediaDayCSC est mon identité. Je suis fier de faire partie de CSC. @ CSCegov_ @ dintya15 @wifichoupal @CSCMaharashtra @CSCNashik @rsprasad @ Swapnil66864291 @ maheshkolte15 @ Gaurav08Pawar pic.twitter.com/lYwgbOr5cd1 juin 2020
dans le rapport, vpmMentor dit que les données collectées pour le déploiement de l'application BHIM ont été stockées sur un compartiment Amazon Web Services S3 mal configuré qui était accessible au public. Selon l'agence, c'est une erreur courante que de nombreuses entreprises font lors de la configuration de leurs systèmes cloud. Les données non sécurisées représentaient 409 Go et contenaient des informations sur des particuliers et plusieurs commerçants.
Le système de paiement UPI est similaire à un compte bancaire et est précieux pour les pirates en général. Il leur donne accès à de grandes quantités d'informations sur les finances et les comptes bancaires d'une personne, qui peuvent ensuite être utilisées pour y accéder illégalement et effectuer des transactions frauduleuses.
La déclaration de l'équipe de recherche de vpnMentor indique qu'elle a découvert la mauvaise configuration du compartiment S3 du SCC dans le cadre d'un énorme projet de cartographie Web. "Nos chercheurs utilisent l'analyse de port pour examiner des blocs IP particuliers et tester différents systèmes pour détecter des faiblesses ou des vulnérabilités. Ils examinent chaque faiblesse pour toutes les données exposées", indique le rapport.
Ce n'est pas la première fois que des problèmes de vulnérabilité surviennent par des tiers autour d'applications en Inde. L'application de traçage Covid-19 Aarogya Setu a vu plusieurs de ces rapports, y compris un pirate éthique à Bangalore qui a affirmé qu'il avait fait irruption dans le système en très peu de temps. L'administration a pris connaissance de ces rapports et a offert un programme de primes de bogues après avoir partagé la base de code sur des domaines publics comme GitHub.
