安全研究人员发现,与移动支付应用程序Bhim的用户联系的约72.6万条记录被网站留下了公众。
公开的数据包括敏感信息,如姓名,出生日期,年龄,性别,家庭住址,种姓状态和Aadhaar卡详细信息,其中包括VPN评论网站VPnmentor的报告。
“暴露数据的规模是非凡的,影响着数百万的人在印度敞开了诸如博客和网络犯罪分子的潜在毁灭性的欺诈,盗窃和攻击,”VPnmentor的安全研究人员在星期天在一个博客文章中写道。
在研究人员在一个月的时间内联系了印度的计算机应急响应团队(CERT-IN)后,突破于上个月后结束。
有问题的Bhim网站是由一家名为CSC电子治理服务有限公司的公司开发的。与印度政府合作。
“在这种情况下,数据存储在不安全的亚马逊Web服务(AWS)S3桶上,”研究人员表示,添加了S3桶是全球流行的云存储形式,但需要开发人员设置安全协议他们的帐户。
“我们致电网站的开发人员将他们的S3桶中的错误配置通知,并提供我们的帮助。在没有收到答复后,我们联系了印度的计算机应急响应团队(Cert-In),该团队涉及该国的网络安全,“他们补充道。
似乎CSC建立了网站,该网站连接到Misconpd S3桶,推动印度的Bhim使用,并根据VPnmentor的研究报告,在应用程序上注册新商家,例如机械师,农民,服务提供商和商店所有者在应用程序上。 Noam Rotem和Ran Locar。
4月23日第一次由安全研究人员发现的暴露数据的数量达到409GB。
“很难准确地说,但S3桶似乎包含短时间内的记录:2019年2月。然而,即使在这样一个短的时间范围内,已经上传和公开了超过700万条记录,“报告说。
“BHIM用户数据的曝光类似于黑客获得对银行的整个数据基础架构的访问,以及数百万用户”帐户信息“。
由印度国家支付公司(NPCI),APP BHIM或Bharat界面提供资金,于2016年推出。