目录导航
在Noam Rotem和Ran Locar的带领下, vpnMentor的研究团队发现了大量与印度移动支付应用程序BHIM相关的极其敏感的财务数据,这些数据已经向公众公开。
该网站被用于一项运动中,以使来自印度各地社区的大量用户和商业商人与该应用程序签约。该活动的所有相关数据都存储在配置错误的Amazon Web Services S3存储桶中,并且可以公开访问。
公开数据的规模非常大,影响了印度各地的数百万人,并使他们面临潜在的破坏性欺诈,盗窃以及黑客和网络犯罪分子的攻击。
数据泄露情况摘要
| 公司网站 | http://cscbhim.in/ |
| 位于 | 印度 |
| 行业 | 手机银行;电子支付;个人财务 |
| 数据大小(以千兆字节为单位) | 409 GB |
| 估计号 的文件 | 约726万 |
| 泄露数据人数 | 百万 |
| 地理范围 | 全国各地的印度 |
| 公开的数据类型 | PII数据, |
| 潜在影响 | 身份盗窃,欺诈,盗窃,病毒攻击 |
| 资料储存格式 | AWS S3存储桶 |
应用程序和公司简介
BHIM代表印度 Bharat Interface for Money,这是一种印度移动支付应用程序,由非营利性商业联盟印度国家支付公司(NPCI)于2016年推出。
BHIM是印度朝着进行无现金交易的更广泛驱动的一部分,其开发目的是促进即时电子支付和用户电话在银行帐户之间的转账。
该应用程序基于NPCI开发的统一支付接口(UPI)技术,以促进印度更好的银行间转账。UPI为单个用户分配一个唯一的ID号,然后该ID号用于在任何关联的金融应用程序上进行收款。
交易可以发生在个人,企业和其他商业团体之间。
到2017年,印度各地大约有1,250万BHIM用户,并且计划在未来几年内增长。到2020年,NPCI记录了超过1.36亿的BHIM应用下载。
根据我们的研究,所涉及的BHIM网站是由一家名为CSC e-Governance Services LTD的公司开发的。与印度政府合作。
发现和所有者反应的时间表
有时,暴露的数据范围和数据所有者是显而易见的,问题很快得到解决。但是这些时期很少见。大多数情况下,我们需要进行数天的调查,才能了解潜在风险或泄露谁。
理解漏洞及其潜在影响需要时间和仔细的注意。我们会努力发布准确且可信赖的报告,以确保阅读它们的每个人都理解他们的认真性。
一些受影响的各方否认事实,无视我们的研究,或淡化其影响。因此,我们需要做到周密, 并确保我们发现的所有信息都是正确和准确的。
在这种情况下,数据存储在不安全的Amazon Web Services(AWS)S3存储桶中。S3存储桶是全球流行的云存储形式,但要求开发人员在其帐户上设置安全协议。
裸露的S3存储桶被标记为“ csc-bhim”,我们的团队很快就能确定“ www.cscbhim.in”网站后面的开发人员为数据的所有者。
鉴于数据泄露的严重性,我们联系了印度的计算机紧急响应小组(CERT-In),该小组负责该国的网络安全。
一段时间之后,看来CERT-In并没有介入,因此我们联系了网站的开发人员,以将其S3存储桶中的错误配置通知他们,并提供我们的帮助。但是,我们也没有收到开发人员的回复。
许多星期后,我们第二次联系了CERT。此后不久,违规被关闭。
- 发现日期: 2020年4月23日
- 联系CERT的日期: 2020年4月28日
- CERT的回复日期: 2020年4月29日
- 联系公司的日期: 2020年5月5日
- 第二次与CERT联系的日期: 2020年5月22日
- 生效日期:大约。2020年5月22日
数据输入示例
看来CSC建立了与错误配置的S3存储桶连接的网站,以促进BHIM在印度的使用,并在该应用程序上注册了新的商人业务,例如机械师,农民,服务提供商和商店所有者。
确切地说很难说,但是S3存储桶似乎包含了很短一段时间(即2019年2月)中的文件。但是,即使在如此短的时间内,也已经上传并公开了超过700万个文件。
这些文件非常敏感,包括在BHIM上开设帐户所需的许多文件,例如:
- 扫描Aadhaar卡-印度的身份证
- 种姓证书扫描
- 照片用作居住证明
- 专业证书,学位和文凭
- 在金融和银行应用程序中截取的屏幕截图,作为资金转移的证明
- 永久帐号(PAN)卡(与印度所得税服务相关)
这些文档中的私人个人用户数据提供了个人,其财务和银行记录的完整档案:
- 名字
- 出生日期
- 年龄
- 性别
- 家庭地址
- 宗教
- 种姓地位
- 生物特征详细信息
- 个人资料和身份证照片,例如指纹扫描
- 政府计划和社会保障服务的ID号
根据我们的研究,S3存储桶还包含未成年人的文件和PII数据,其中一些记录属于18岁以下的人。
以下是存储在配置错误的S3存储桶中的文档扫描的一小部分示例:
此外,S3存储桶包含签署了BHIM的大量商家业务CSV列表,以及业务所有者的UPI ID号。
还暴露了类似的单个应用程序用户的CSV列表及其UPI ID,其中包含超过一百万个此类条目。
UPI支付系统在许多方面类似于银行帐户。对于黑客来说,这将具有极大的价值,使他们能够访问有关个人财务和银行帐户的大量信息。此数据将使非法访问这些帐户变得更加容易。
S3存储桶还包含一个Android应用程序包(APK),这是Android操作系统用于分发和安装应用程序的文件格式。AWS密钥对等效于亚马逊基础设施中的管理员用户/密码,可能使密钥持有者能够访问所有数据,启动和停止服务器,访问S3存储桶控件等功能。我们没有测试凭据,但是即使它们存在,也是不良安全设计实践的一个令人震惊的信号。
数据泄露影响
暴露出的大量敏感的私人数据,以及UPI ID,文档扫描等,使这一破坏深深地引起了人们的关注。
BHIM用户数据的暴露类似于黑客获得了对银行的整个数据基础结构以及数百万个用户帐户信息的访问权限。
在公共领域拥有此类敏感的财务数据或犯罪黑客的手中,将使欺骗,欺诈和从暴露的人们那里窃取的行为变得异常容易。
网络犯罪分子可以通过多种方式将数据与以下非法目标结合起来:
身份盗窃– 使用一个人的PII数据和银行记录来采用其身份,并将其用于申请贷款,进行非法购买,犯罪等。
税务欺诈– 与身份盗用相似,使用某人的税务详细信息伪造记录并提出欺诈性索赔。
盗窃– 黑客可以通过该应用访问BHIM帐户并提取大量资金。
欺诈– 通过发送模仿企业和朋友的短信或电子邮件,诱使用户通过该应用向您汇款。
电子支付平台及其在发展中国家的用户是欺诈和盗窃的流行目标。用户通常缺乏财务教育,对上述骗局的工作方式也不了解。专业欺诈者和犯罪分子很容易欺骗和欺骗他们。
我们的研究还表明,某些暴露在外的BHIM用户是未成年人,他们特别容易受到欺诈手段的攻击。
考虑到所暴露的数据量(超过700万个文件)以及BHIM用户群的整体规模,黑客和网络犯罪分子仅需要成功地欺骗并从一小部分用户中窃取,便可以使犯罪计划有利可图并值得。
私人数据的泄露也可能导致印度公众,政府机构和科技公司之间的信任进一步恶化。数据隐私是社会各阶层人士的巨大关注,许多人可能不愿意采用与此类丑闻有关的软件工具。
由于印度政府积极参与了在全国范围内采用BHIM之类的UPI应用程序,因此它们有可能因结社而受到有害影响,并有可能引起民众的不满。
对于CSC和BHIM应用
如果人们不再信任所涉及的公司来保护其数据,那么对于CSC和BHIM的开发人员来说,最直接的风险就是用户的损失。
如果有故事和谣言称该应用程序使用不安全,将来使人们签约使用该服务也可能会更加困难。在整个冠状病毒流行过程中,印度在诸如Whatsapp之类的平台上传播虚假或夸大的故事时遇到了许多问题。
尽管印度并未维护强大的数据隐私法律和保护,但由于S3存储桶配置错误,CSC和BHIM仍可能面临监管问题和调查。鉴于政府的参与,他们无疑希望将任何潜在的损害和负面新闻降到最低。
BHIM只是在印度运营的众多电子支付平台之一,其中包括Google Pay。数据泄露将帮助其许多竞争对手吸引客户,从而损害BHIM的市场份额。
潜在的,此数据泄露的最大破坏因素是S3存储桶的APK暴露。熟练的黑客可以利用它攻击CSC的BHIM云存储基础架构,并以恶意软件,间谍软件等为目标。
此类攻击可能会对BHIM应用程序及其更广泛的用户群造成毁灭性影响,而这在规模和严重性上很难预测。
专家的建议
如果CSC / BHIM网站的开发人员已经采取了一些基本的安全措施来保护用户数据,则可以轻松避免暴露用户数据。这些包括但不限于:
- 保护其服务器。
- 实施适当的访问规则。
- 永远不要将不需要身份验证的系统开放给互联网。
任何公司,无论规模大小,都可以复制相同的步骤。
保护打开的S3存储桶
请务必注意,开放的,可公开查看的S3存储桶不是AWS的缺陷。它们通常是存储桶所有者错误的结果。亚马逊向AWS用户提供了详细说明,以帮助他们保护S3存储桶并保持其私密性。
在这种情况下,解决此错误的最快方法是:
- 将存储桶设为私有并添加身份验证协议。
- 遵循AWS访问和身份验证最佳实践。
- 向其S3存储桶添加更多保护,以进一步限制谁可以从每个入口点访问它。
对于BHIM用户
如果您担心此违规行为可能对您造成何种影响,请直接与CSC电子政务服务联系,以了解将采取哪些步骤来解决此问题并确保数据安全。
它向您展示了网络犯罪分子针对互联网用户的多种方式,以及为确保安全而采取的步骤。
我们如何以及为什么发现突破口
vpnMentor研究团队在CSC的S3存储桶中发现了错误配置,这是一个庞大的Web映射项目的一部分。我们的研究人员使用端口扫描来检查特定的IP块,并测试不同系统的弱点或漏洞。他们检查每个弱点,以发现任何暴露的数据。
我们的团队能够访问此 S3存储桶, 因为它完全不安全且未加密。
每当我们发现数据泄露或类似问题时, 我们都会使用专家技术来验证数据的所有者, 通常是商业公司。
作为道德黑客,当我们发现公司的在线安全漏洞时,有义务通知公司。我们与CSC取得了联系,不仅是让他们知道该漏洞,而且还提出了使他们的系统安全的方法的建议。
这些道德规范也意味着我们对公众负有责任。 必须使BHIM用户知道他们的大部分敏感数据是暴露的。
此Web制图项目的目的是帮助 使所有用户的互联网更加安全。
我们 从不出售,存储或公开 在安全研究期间遇到的任何信息。