Datos sobre la aplicación de pagos móviles de la India según se informa …


Más de 7 millones de registros expuestos, según vpnMentor, pero el fabricante de la aplicación dice que no hay signos de uso malicioso.

Los datos pertenecientes a millones de ciudadanos indios que se habían registrado para una aplicación de pago móvil llamada BHIM pueden haber estado en riesgo de uso indebido después de quedar expuestos y sin cifrar en un depósito de almacenamiento de Amazon S3 mal configurado.

Los investigadores del servicio de revisión de VPN vpnMentor descubrieron recientemente el cubo S3 conectado a un sitio internet que se está utilizando para promover la adopción de la aplicación de pago y para registrar nuevos usuarios individuales y negocios comerciales.

En un informe, vpnMentor descrito el depósito de almacenamiento contiene 409 GB de datos que representan unos 7,26 millones de registros que contienen información necesaria para abrir una cuenta BHIM. Los datos incluyeron escaneos de tarjetas de identificación nacionales fotos utilizadas como prueba de residencia certificados profesionales, títulos y diplomas y nombres, fecha de nacimiento y religión. También se incluyeron en el conjunto de datos los números de identificación de los programas gubernamentales y los identificadores biométricos, como los escaneos de huellas digitales.

Los datos personales del usuario contenidos en el conjunto de datos proporcionaron «un perfil completo de las personas, sus finanzas y registros bancarios», dijo vpnMentor. «Tener datos financieros tan sensibles en el dominio público o en manos de piratas informáticos criminales haría que sea increíblemente fácil engañar, defraudar y robar a las personas expuestas», señaló.

Además de los datos sobre individuos, el paquete S3 también contenía «listas masivas de CSV» con información sobre los comerciantes que se habían inscrito en BHIM y los ID utilizados por los propietarios de negocios para realizar transferencias de pagos a través de la aplicación. Las identificaciones similares que pertenecen a más de 1 millón de personas también pueden haber estado potencialmente expuestas a través del contenedor S3 mal configurado. Tales identificaciones facilitan mucho el acceso ilegal de los hackers a las cuentas bancarias que pertenecen a las personas afectadas, dijo vpnMentor.

Sin embargo, la Corporación Nacional de Pagos de India (NPCI), que lanzó BHIM en 2016, negó el lunes que los datos de los usuarios hayan sido comprometidos e instó a sus usuarios a no caer en lo que describieron como informes de noticias especulativas. La organización reclamado siguió prácticas altamente seguras y un «enfoque integrado» para proteger su infraestructura de pagos y los datos de los usuarios.

BHIM – abreviatura de Bharat Interface for Dollars – está diseñado para permitir que las personas y las empresas realicen pagos bancarios directos. Una característica clave de la aplicación es que permite a los usuarios iniciar transacciones sin tener que ingresar información bancaria y otros datos confidenciales cada vez. Según el NPCI, la versión de Android de la aplicación tiene casi 134 millones de descargas y la versión de iOS tiene 2.8 millones de descargas a partir de abril de 2020.

Largo sendero de infracciones similares
El incidente reportado que involucra a BHIM es el último ejemplo de una exposición de datos resultante de un bucket de AWS S3 mal configurado. En los últimos años, ha habido una corriente prácticamente interminable de violaciones igualmente masivas.

En marzo, vpnMentor informó haber descubierto más de 500,000 documentos, incluidos informes de crédito, documentos legales, extractos bancarios e información de licencia de conducir relacionados con una aplicación móvil desarrollada por Gain Money Funding y Argus Funds Funding, en un paquete abierto S3. El año pasado, el proveedor de gestión de riesgos Upguard informó haber encontrado datos pertenecientes a millones de clientes de Lion Air de Tailandia y dos de sus filiales en un depósito de almacenamiento de AWS. En febrero, UpGuard nuevamente encontró datos sobre 120 millones de clientes minoristas expuestos en un contenedor en la nube de AWS después de que una compañía de análisis de mercado lo pusiera allí.

A menudo, las infracciones se deben a errores de configuración básicos, como hacer que el depósito sea privado y configurar controles de autenticación. La falta de una comprensión adecuada entre los administradores sobre cómo funcionan las configuraciones para las listas de manage de acceso y otras políticas que gobiernan el acceso a los cubos S3 es otro problema que los investigadores han señalado. Han señalado que la amplia disponibilidad de herramientas que facilitan a las personas la búsqueda de cubos de almacenamiento mal configurados o fácilmente comprometidos ha exacerbado el problema.

Según vpnMentor, descubrió el conjunto de datos BHIM en abril y notificó al desarrollador del sitio world-wide-web al que estaba vinculado. Cuando no recibió una respuesta, la compañía contactó al Equipo de Respuesta a Emergencias Informáticas de la India en abril. Pero fue solo después de que vpnMentor se contactó con el equipo indio de CERT una vez más en mayo que se resolvió el incumplimiento, afirmó la compañía.

Contenido relacionado:

Aprenda de los expertos de la industria en un entorno propicio para la interacción y la conversación sobre cómo prepararse para eso «realmente mal día «en ciberseguridad. Haga clic para más información y para registrarse.

Jai Vijayan es un experimentado reportero de tecnología con más de 20 años de experiencia en periodismo comercial de TI. Recientemente fue editor sénior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más ideas





Enlace a la noticia first