ఈ ఉల్లంఘన (బ్రీచ్) యొక్క పరిమాణం అసాధారణమైనది.
ఇది ఇప్పటివరకు భారతీయ డేటా యొక్క అత్యంత సమగ్రమైన లీక్ అని సూచిస్తుంది.
VPnMentor అనే ఇజ్రాయెల్ సైబర్సెక్యూరిటీ వెబ్సైట్ ద్వారా ఆధార్ కార్డులు, కుల ధృవీకరణ పత్రాలు మరియు మరిన్ని వంటి సున్నితమైన పత్రాలను కలిగి ఉన్న BHIM- సంబంధిత వెబ్సైట్ ప్రజలకు బహిర్గతం అయిన తర్వాత 7 మిలియన్లకు పైగా BHIM యాప్ వినియోగదారుల యొక్క సున్నితమైన డేటా రాజీ పడింది. తమను తాము నైతిక హ్యాకర్ల బృందం అని ప్రకటిస్తూ, ఈ ఉల్లంఘన (బ్రీచ్) గురించిన వివరాలను ఏప్రిల్లో భారత అధికారులకు నివేదించారు.
Surveyఈ వెబ్సైట్, http://cscbhim.in/, ఇప్పుడు తీసివేయబడింది, ఇది అమెజాన్ AWS సర్వర్లో డేటాను నిల్వ చేసినట్లు తెలిసింది, ఇది ఇంటర్నెట్కు బహిర్గతమైంది. ఈ ఉల్లంఘన (బ్రీచ్) తరువాత CSC e-Governance Services మే 22 న ఈ వెబ్సైట్ ను నిర్మించినట్లు సైబర్ సెక్యూరిటీ సంస్థ blog post by the cybersecurity firm వివరిస్తోంది.
7 మిలియన్ల BHIM యాప్ యూజర్ల వ్యక్తిగత మరియు ఆర్థిక రికార్డులు బహిర్గతం చేయబడ్డాయి
ఈ ఉల్లంఘన (బ్రీచ్) యొక్క పరిమాణం అసాధారణమైనది. ఎటువంటి మాలిక్యులస్ హ్యాకర్ అయినా కనుగొనడానికి వీలుగా, ఆధార్ కార్డుల స్కాన్లు, కుల ధృవీకరణ పత్రాలు, నివాస రుజువుగా పత్రాలతో ఉపయోగించిన ఫోటోలు, ప్రొఫెషనల్ సర్టిఫికెట్లు, డిగ్రీలు, డిప్లొమాలు, ఫండ్ బదిలీలకు రుజువుగా ఈ యాప్ లో తీసిన స్క్రీన్షాట్లు, పాన్ కార్డులు మరియు మరెన్నో బహిర్గతం అయ్యాయని,ఈ నివేదిక పేర్కొంది.
ఉల్లంఘనలో (బ్రీచ్) ప్రభుత్వ సామాజిక భద్రతా సేవల పేర్లు, పుట్టిన తేదీ, వయస్సు, లింగం, ఇంటి చిరునామా, మతం, కుల స్థితి, బయోమెట్రిక్ వివరాలు, వేలిముద్ర స్కాన్లు మరియు ఐడి నంబర్లు కూడా ఉన్నాయి.
ఈ ఉల్లంఘించిన (బ్రీచ్) డేటా యొక్క కార్పస్ ఇది ఇప్పటివరకు భారతీయ డేటా యొక్క అత్యంత సమగ్రమైన లీక్ అని సూచిస్తుంది. ఇది ఐడెంటిటీ దొంగతనం కోసం సులభంగా ఉపయోగించబడుతుంది. ఇటుఅవంతి ఘటనలు, గత కొన్ని సంవత్సరాలుగా చాలా తక్కువ ఉన్నాయి. బ్రీచ్ అయిన వెబ్సైట్లో 18 ఏళ్లలోపు వ్యక్తులకు చెందిన కొన్ని రికార్డులతో మైనర్ల డేటా కూడా ఉందని నివేదిక పేర్కొంది.
అదేవిధంగా, వ్యక్తిగత యాప్ యూజర్ల యొక్క1 మిలియన్ CSV జాబితాలు మరియు వారి UPI ID లు కూడా బహిర్గతమయ్యాయి.
ఇంకా, ఈ ఉల్లంఘన (బ్రీచ్)లో APK ఉంది, ఇది అన్ని డేటాకు Key access ఇవ్వగలదు మరియు హానికరమైన ఏజెంట్ ద్వారా AWS సర్వర్లను వారి ఇష్టానుసారం స్టార్ట్ చేసి ఆపివేయగల సామర్థ్యం కలిగి ఉంటుంది.
ఉల్లంఘన (బ్రీచ్)ను NCPI ఖండించింది
ఈ ఉల్లంఘన(బ్రీచ్) ను ధృవీకరించడానికి డిజిట్.ఇన్ స్వతంత్రంగా NCPI కి చేరుకుంది. భారతదేశంలో ఆన్లైన్ చెల్లింపుల ప్రక్రియను, అలాగే BHIM యాప్ యొక్క కార్యకలాపాలను చూసే కార్పొరేషన్, వారి డేటాలో ఎటువంటి రాజీ లేదని,ఈ విషయాన్ని ఖండించింది.
"BHIM యాప్లో డేటా రాజీ(compromise) కాదని మేము స్పష్టం చేయాలనుకుంటున్నాము మరియు అలాంటి ఉ హాగానాలను నమ్మి బలైపోవద్దని ప్రతి ఒక్కరినీ అభ్యర్థిస్తున్నాము" అని ఈ సంస్థ ఒక ప్రకటనలో తెలిపింది.
"NPCI అధిక స్థాయి భద్రత మరియు దాని మౌలిక సదుపాయాలను కాపాడటానికి మరియు బలమైన చెల్లింపుల పర్యావరణ వ్యవస్థను అందించడం కోసం ఒక సమగ్ర విధానాన్ని అనుసరిస్తుంది" అని ఈ ప్రకటన తెలిపింది.
డేటా ఉల్లంఘన ఎలా జరిగింది?
BHIM UPI యాప్ లో ఎక్కువ మంది వినియోగదారులను మరియు వ్యాపారులను సైన్ అప్ చేయడానికి ఒక ప్రచారాన్ని ఉపయోగించినట్లు తెలిసింది. ఈ వ్యక్తిగత రికార్డులు ఫిబ్రవరి 2019 నాటివి, ఈ డంప్ మొత్తం పరిమాణం 409GB వరకు ఉంది.
VpnMentor అసురక్షిత అమెజాన్ వెబ్ సర్వీసెస్ (AWS) S3 బకెట్ డేటాను కనుగొంది. S3 బకెట్లు క్లౌడ్లో డేటాను స్టోర్ చేయడానికి ఒక సాధారణ మార్గం. అయితే, డేటాను భద్రపరచడానికి డెవలపర్స్ కు సెక్యూరిటీ ప్రోటోకాల్స్ ను నియమించాల్సిన అవసరం ఉంది. డేటా బకెట్ ఎవరికి చెందినదో ఈ బృందం త్వరగా గుర్తించగలిగింది.
సైబర్ సెక్యూరిటీ సంస్థ భారీ వెబ్ మ్యాపింగ్ ప్రాజెక్టులో పనిచేస్తున్నట్లు మరియు బలహీనతలు మరియు వెల్నర్బిలిటీ పరీక్షించడానికి నిర్దిష్ట IP బ్లాక్లను పరిశీలించడానికి పోర్ట్ స్కానింగ్ను ఉపయోగిస్తున్నట్లు తెలిసింది. వారు అసురక్షిత AWS S3 బకెట్ను కనుగొన్నప్పుడు ఇది జరిగింది.
NCPI మరియు CERT-in లకు సమాచారం ఇచ్చిన తర్వాత కూడా డేటా బహిర్గతమవుతుంది
ఉల్లంఘనపై దర్యాప్తు చేసిన తరువాత, vpnMentor మొదట వెబ్సైట్ డెవలపర్ CSC ఇ-గవర్నెన్స్కు చేరుకుంది, దీనికి వారు సమాధానం పొందలేదు. ఆ తరువాత, ఈ బృందం భారతదేశం యొక్క కంప్యూటర్ ఎమర్జెన్సీ రెస్పాన్స్ టీం (CERT-in) ను రెండుసార్లు సంప్రదించింది, మరియు రెండవ ఉదాహరణ తర్వాత మాత్రమే ఉల్లంఘన ప్లగ్ చేయబడింది.మొత్తానికి, ఈ వెబ్సైట్ ఇప్పుడు తొలగించబడింది.
Follow Us
Raja Pullagura
Crazy about tech...Cool in nature... View Full Profile
