周一的一群道德黑客声称已经发现了影响数百万的Bhim App用户的漏洞,该声明由NPCI拒绝,该索赔是运营小价值付款的应用程序。
vpnmentor声称是最大的虚拟私人网络审查网站,提供了一个研究实验室,帮助在线社区捍卫自身抵御网络威胁,所谓的关于付款应用程序的用户发现了“数据泄漏” 。
本集团还表示,印度政府网站专注于推动采用BHIM,将数百万用户的数据暴露在潜在的欺诈。
印度的国家支付公司(NPCI)表示,Bhim App没有数据妥协,其中有超过13600万个下载。
“如果CSC / BHIM网站的开发人员可以很容易地避免在若干基本的安全措施保护数据的情况下避免开放用户数据,”VPnmentor在一个语句中表示。
电子和信息技术部有一项名为CSC(公共服务中心)-BHIM的主动权,该计划是现场代理商使用的门户,作为广告系列的一部分,以便通过商家及公众推送BHIM应用程序。
根据VPnmentor的说法,来自此广告系列的数据正在存储在“MISCONPD Amazon Web Services S3 Bucket”上,并且可公开访问,使其易于滥用执行欺诈,盗窃和从黑客和网络犯罪分子的攻击。
它还称将暴露数据的规模称为“非凡”,并在“数百万”中解释了暴露的用户数,并补充说,怀疑遭到破坏的409 GB数据超过了70万卢比记录。
“我们希望澄清Bhim App上没有数据妥协,并要求每个人不要落在猎物中。NPCI遵循高水平的安全性和保护基础设施的综合方法,继续提供强大的支付生态系统,“NPCI在一份声明中表示。
该应用程序于2016年推出。
突破于4月23日发现,印度计算机应急响应小组于4月28日联系。CERT-IN答复了第二天,5月22日被指出作为VPNMENTOR报告中的行动日期。
报告称,超过70万卢比的用户“上传的数据被揭露,添加了在线公开的记录包括Aadhaar卡,种姓,居住证明,专业证书和学位,基金转移和平移卡的截图。
它指出,这些文档中的私人个人用户数据提供了完整的习惯性,财务和银行记录。
在VPNMENTOR发表的声明中,其网络安全研究人员NOAM ROTEM和RAN LOCAR表示,纯粹的敏感私有数据,以及UPI ID,文档扫描等等,使这突破深入了解。
“Bhim用户数据的曝光类似于黑客获得对银行的整个数据基础架构的访问,以及数百万用户”帐户信息“,他们在声明中表示。