VPnMentor అనే ఇజ్రాయెల్ సైబర్సెక్యూరిటీ వెబ్సైట్ ద్వారా ఆధార్ కార్డులు, కుల ధృవీకరణ పత్రాలు మరియు మరిన్ని వంటి సున్నితమైన పత్రాలను కలిగి ఉన్న BHIM- సంబంధిత వెబ్సైట్ ప్రజలకు బహిర్గతం అయిన తర్వాత 7 మిలియన్లకు పైగా BHIM యాప్ వినియోగదారుల యొక్క సున్నితమైన డేటా రాజీ పడింది. తమను తాము నైతిక హ్యాకర్ల బృందం అని ప్రకటిస్తూ, ఈ ఉల్లంఘన (బ్రీచ్) గురించిన వివరాలను ఏప్రిల్లో భారత అధికారులకు నివేదించారు.
ఈ వెబ్సైట్, http://cscbhim.in/, ఇప్పుడు తీసివేయబడింది, ఇది అమెజాన్ AWS సర్వర్లో డేటాను నిల్వ చేసినట్లు తెలిసింది, ఇది ఇంటర్నెట్కు బహిర్గతమైంది. ఈ ఉల్లంఘన (బ్రీచ్) తరువాత CSC e-Governance Services మే 22 న ఈ వెబ్సైట్ ను నిర్మించినట్లు సైబర్ సెక్యూరిటీ సంస్థ blog post by the cybersecurity firm వివరిస్తోంది.
ఈ ఉల్లంఘన (బ్రీచ్) యొక్క పరిమాణం అసాధారణమైనది. ఎటువంటి మాలిక్యులస్ హ్యాకర్ అయినా కనుగొనడానికి వీలుగా, ఆధార్ కార్డుల స్కాన్లు, కుల ధృవీకరణ పత్రాలు, నివాస రుజువుగా పత్రాలతో ఉపయోగించిన ఫోటోలు, ప్రొఫెషనల్ సర్టిఫికెట్లు, డిగ్రీలు, డిప్లొమాలు, ఫండ్ బదిలీలకు రుజువుగా ఈ యాప్ లో తీసిన స్క్రీన్షాట్లు, పాన్ కార్డులు మరియు మరెన్నో బహిర్గతం అయ్యాయని,ఈ నివేదిక పేర్కొంది.
ఉల్లంఘనలో (బ్రీచ్) ప్రభుత్వ సామాజిక భద్రతా సేవల పేర్లు, పుట్టిన తేదీ, వయస్సు, లింగం, ఇంటి చిరునామా, మతం, కుల స్థితి, బయోమెట్రిక్ వివరాలు, వేలిముద్ర స్కాన్లు మరియు ఐడి నంబర్లు కూడా ఉన్నాయి.
ఈ ఉల్లంఘించిన (బ్రీచ్) డేటా యొక్క కార్పస్ ఇది ఇప్పటివరకు భారతీయ డేటా యొక్క అత్యంత సమగ్రమైన లీక్ అని సూచిస్తుంది. ఇది ఐడెంటిటీ దొంగతనం కోసం సులభంగా ఉపయోగించబడుతుంది. ఇటుఅవంతి ఘటనలు, గత కొన్ని సంవత్సరాలుగా చాలా తక్కువ ఉన్నాయి. బ్రీచ్ అయిన వెబ్సైట్లో 18 ఏళ్లలోపు వ్యక్తులకు చెందిన కొన్ని రికార్డులతో మైనర్ల డేటా కూడా ఉందని నివేదిక పేర్కొంది.
అదేవిధంగా, వ్యక్తిగత యాప్ యూజర్ల యొక్క1 మిలియన్ CSV జాబితాలు మరియు వారి UPI ID లు కూడా బహిర్గతమయ్యాయి.
ఇంకా, ఈ ఉల్లంఘన (బ్రీచ్)లో APK ఉంది, ఇది అన్ని డేటాకు Key access ఇవ్వగలదు మరియు హానికరమైన ఏజెంట్ ద్వారా AWS సర్వర్లను వారి ఇష్టానుసారం స్టార్ట్ చేసి ఆపివేయగల సామర్థ్యం కలిగి ఉంటుంది.
ఈ ఉల్లంఘన(బ్రీచ్) ను ధృవీకరించడానికి డిజిట్.ఇన్ స్వతంత్రంగా NCPI కి చేరుకుంది. భారతదేశంలో ఆన్లైన్ చెల్లింపుల ప్రక్రియను, అలాగే BHIM యాప్ యొక్క కార్యకలాపాలను చూసే కార్పొరేషన్, వారి డేటాలో ఎటువంటి రాజీ లేదని,ఈ విషయాన్ని ఖండించింది.
"BHIM యాప్లో డేటా రాజీ(compromise) కాదని మేము స్పష్టం చేయాలనుకుంటున్నాము మరియు అలాంటి ఉ హాగానాలను నమ్మి బలైపోవద్దని ప్రతి ఒక్కరినీ అభ్యర్థిస్తున్నాము" అని ఈ సంస్థ ఒక ప్రకటనలో తెలిపింది.
"NPCI అధిక స్థాయి భద్రత మరియు దాని మౌలిక సదుపాయాలను కాపాడటానికి మరియు బలమైన చెల్లింపుల పర్యావరణ వ్యవస్థను అందించడం కోసం ఒక సమగ్ర విధానాన్ని అనుసరిస్తుంది" అని ఈ ప్రకటన తెలిపింది.
BHIM UPI యాప్ లో ఎక్కువ మంది వినియోగదారులను మరియు వ్యాపారులను సైన్ అప్ చేయడానికి ఒక ప్రచారాన్ని ఉపయోగించినట్లు తెలిసింది. ఈ వ్యక్తిగత రికార్డులు ఫిబ్రవరి 2019 నాటివి, ఈ డంప్ మొత్తం పరిమాణం 409GB వరకు ఉంది.
VpnMentor అసురక్షిత అమెజాన్ వెబ్ సర్వీసెస్ (AWS) S3 బకెట్ డేటాను కనుగొంది. S3 బకెట్లు క్లౌడ్లో డేటాను స్టోర్ చేయడానికి ఒక సాధారణ మార్గం. అయితే, డేటాను భద్రపరచడానికి డెవలపర్స్ కు సెక్యూరిటీ ప్రోటోకాల్స్ ను నియమించాల్సిన అవసరం ఉంది. డేటా బకెట్ ఎవరికి చెందినదో ఈ బృందం త్వరగా గుర్తించగలిగింది.
సైబర్ సెక్యూరిటీ సంస్థ భారీ వెబ్ మ్యాపింగ్ ప్రాజెక్టులో పనిచేస్తున్నట్లు మరియు బలహీనతలు మరియు వెల్నర్బిలిటీ పరీక్షించడానికి నిర్దిష్ట IP బ్లాక్లను పరిశీలించడానికి పోర్ట్ స్కానింగ్ను ఉపయోగిస్తున్నట్లు తెలిసింది. వారు అసురక్షిత AWS S3 బకెట్ను కనుగొన్నప్పుడు ఇది జరిగింది.
ఉల్లంఘనపై దర్యాప్తు చేసిన తరువాత, vpnMentor మొదట వెబ్సైట్ డెవలపర్ CSC ఇ-గవర్నెన్స్కు చేరుకుంది, దీనికి వారు సమాధానం పొందలేదు. ఆ తరువాత, ఈ బృందం భారతదేశం యొక్క కంప్యూటర్ ఎమర్జెన్సీ రెస్పాన్స్ టీం (CERT-in) ను రెండుసార్లు సంప్రదించింది, మరియు రెండవ ఉదాహరణ తర్వాత మాత్రమే ఉల్లంఘన ప్లగ్ చేయబడింది.మొత్తానికి, ఈ వెబ్సైట్ ఇప్పుడు తొలగించబడింది.