70 లక్షలకు పైగా BHIM యూజర్ల ఆర్థిక మరియు వ్యక్తిగత డేటా బహిర్గతం, ఈ ఆరోపణలను ఖండించిన NCPI.

బై Raja Pullagura | పబ్లిష్ చేయబడింది 03 Jun 2020
HIGHLIGHTS

ఈ ఉల్లంఘన (బ్రీచ్) యొక్క పరిమాణం అసాధారణమైనది.

ఇది ఇప్పటివరకు భారతీయ డేటా యొక్క అత్యంత సమగ్రమైన లీక్ అని సూచిస్తుంది.

70 లక్షలకు పైగా BHIM యూజర్ల ఆర్థిక మరియు వ్యక్తిగత డేటా బహిర్గతం, ఈ ఆరోపణలను ఖండించిన NCPI.
70 లక్షలకు పైగా BHIM యూజర్ల ఆర్థిక మరియు వ్యక్తిగత డేటా బహిర్గతం, ఈ ఆరోపణలను ఖండించిన NCPI.

Want to modernise your banking loan application?

Build an application that analyses credit risk with #IBMCloud Pak for Data on #RedHat #OpenShift

Click here to know more

Advertisements

VPnMentor అనే ఇజ్రాయెల్ సైబర్‌సెక్యూరిటీ వెబ్‌సైట్ ద్వారా ఆధార్ కార్డులు, కుల ధృవీకరణ పత్రాలు మరియు మరిన్ని వంటి సున్నితమైన పత్రాలను కలిగి ఉన్న BHIM- సంబంధిత వెబ్‌సైట్ ప్రజలకు బహిర్గతం అయిన తర్వాత 7 మిలియన్లకు పైగా BHIM యాప్  వినియోగదారుల యొక్క సున్నితమైన డేటా రాజీ పడింది. తమను తాము నైతిక హ్యాకర్ల బృందం అని ప్రకటిస్తూ, ఈ ఉల్లంఘన (బ్రీచ్) గురించిన వివరాలను ఏప్రిల్‌లో భారత అధికారులకు నివేదించారు.

ఈ వెబ్‌సైట్, http://cscbhim.in/, ఇప్పుడు తీసివేయబడింది, ఇది అమెజాన్ AWS సర్వర్‌లో డేటాను నిల్వ చేసినట్లు తెలిసింది, ఇది ఇంటర్నెట్‌కు బహిర్గతమైంది. ఈ ఉల్లంఘన (బ్రీచ్) తరువాత CSC e-Governance Services మే 22 న  ఈ వెబ్‌సైట్ ‌ను నిర్మించినట్లు సైబర్‌ సెక్యూరిటీ సంస్థ blog post by the cybersecurity firm వివరిస్తోంది.

7 మిలియన్ల BHIM యాప్ యూజర్ల వ్యక్తిగత మరియు ఆర్థిక రికార్డులు బహిర్గతం చేయబడ్డాయి

ఈ ఉల్లంఘన (బ్రీచ్) యొక్క పరిమాణం అసాధారణమైనది. ఎటువంటి మాలిక్యులస్ హ్యాకర్ అయినా కనుగొనడానికి వీలుగా, ఆధార్ కార్డుల స్కాన్లు, కుల ధృవీకరణ పత్రాలు, నివాస రుజువుగా పత్రాలతో ఉపయోగించిన ఫోటోలు, ప్రొఫెషనల్ సర్టిఫికెట్లు, డిగ్రీలు, డిప్లొమాలు, ఫండ్ బదిలీలకు రుజువుగా ఈ యాప్ లో తీసిన స్క్రీన్షాట్లు, పాన్ కార్డులు మరియు మరెన్నో  బహిర్గతం అయ్యాయని,ఈ నివేదిక పేర్కొంది.

ఉల్లంఘనలో (బ్రీచ్) ప్రభుత్వ సామాజిక భద్రతా సేవల పేర్లు, పుట్టిన తేదీ, వయస్సు, లింగం, ఇంటి చిరునామా, మతం, కుల స్థితి, బయోమెట్రిక్ వివరాలు, వేలిముద్ర స్కాన్లు మరియు ఐడి నంబర్లు కూడా ఉన్నాయి.

ఈ ఉల్లంఘించిన (బ్రీచ్) డేటా యొక్క కార్పస్ ఇది ఇప్పటివరకు భారతీయ డేటా యొక్క అత్యంత సమగ్రమైన లీక్ అని సూచిస్తుంది. ఇది ఐడెంటిటీ దొంగతనం కోసం సులభంగా ఉపయోగించబడుతుంది. ఇటుఅవంతి ఘటనలు, గత కొన్ని సంవత్సరాలుగా చాలా తక్కువ ఉన్నాయి. బ్రీచ్ అయిన వెబ్‌సైట్‌లో 18 ఏళ్లలోపు వ్యక్తులకు చెందిన కొన్ని రికార్డులతో మైనర్ల డేటా కూడా ఉందని నివేదిక పేర్కొంది.

అదేవిధంగా, వ్యక్తిగత యాప్ యూజర్ల యొక్క1 మిలియన్ CSV జాబితాలు మరియు వారి UPI ID లు కూడా బహిర్గతమయ్యాయి.

ఇంకా, ఈ ఉల్లంఘన (బ్రీచ్)లో APK ఉంది, ఇది అన్ని డేటాకు Key access ఇవ్వగలదు మరియు హానికరమైన ఏజెంట్ ద్వారా AWS సర్వర్‌లను వారి ఇష్టానుసారం స్టార్ట్ చేసి ఆపివేయగల సామర్థ్యం కలిగి ఉంటుంది.

ఉల్లంఘన (బ్రీచ్)ను NCPI ఖండించింది

ఈ ఉల్లంఘన(బ్రీచ్) ను ధృవీకరించడానికి డిజిట్.ఇన్ స్వతంత్రంగా NCPI కి చేరుకుంది. భారతదేశంలో ఆన్‌లైన్ చెల్లింపుల ప్రక్రియను, అలాగే BHIM యాప్ యొక్క కార్యకలాపాలను చూసే కార్పొరేషన్, వారి డేటాలో ఎటువంటి రాజీ లేదని,ఈ విషయాన్ని ఖండించింది.

"BHIM యాప్‌లో డేటా రాజీ(compromise) కాదని మేము స్పష్టం చేయాలనుకుంటున్నాము మరియు అలాంటి ఉ హాగానాలను నమ్మి బలైపోవద్దని ప్రతి ఒక్కరినీ అభ్యర్థిస్తున్నాము" అని ఈ సంస్థ ఒక ప్రకటనలో తెలిపింది.

"NPCI అధిక స్థాయి భద్రత మరియు దాని మౌలిక సదుపాయాలను కాపాడటానికి మరియు బలమైన చెల్లింపుల పర్యావరణ వ్యవస్థను అందించడం కోసం ఒక సమగ్ర విధానాన్ని అనుసరిస్తుంది" అని ఈ ప్రకటన తెలిపింది.

డేటా ఉల్లంఘన ఎలా జరిగింది?

BHIM UPI యాప్ లో ఎక్కువ మంది వినియోగదారులను మరియు వ్యాపారులను సైన్ అప్ చేయడానికి ఒక ప్రచారాన్ని ఉపయోగించినట్లు తెలిసింది. ఈ వ్యక్తిగత రికార్డులు ఫిబ్రవరి 2019 నాటివి, ఈ డంప్ మొత్తం పరిమాణం 409GB వరకు ఉంది.

VpnMentor అసురక్షిత అమెజాన్ వెబ్ సర్వీసెస్ (AWS) S3 బకెట్ డేటాను కనుగొంది. S3 బకెట్లు క్లౌడ్‌లో డేటాను స్టోర్ చేయడానికి ఒక సాధారణ మార్గం.  అయితే, డేటాను భద్రపరచడానికి డెవలపర్స్ కు సెక్యూరిటీ ప్రోటోకాల్స్ ను నియమించాల్సిన అవసరం ఉంది. డేటా బకెట్ ఎవరికి చెందినదో ఈ బృందం త్వరగా గుర్తించగలిగింది.

సైబర్‌ సెక్యూరిటీ సంస్థ భారీ వెబ్ మ్యాపింగ్ ప్రాజెక్టులో పనిచేస్తున్నట్లు మరియు బలహీనతలు మరియు వెల్నర్బిలిటీ పరీక్షించడానికి నిర్దిష్ట IP బ్లాక్‌లను పరిశీలించడానికి పోర్ట్ స్కానింగ్‌ను ఉపయోగిస్తున్నట్లు తెలిసింది. వారు అసురక్షిత AWS S3 బకెట్‌ను కనుగొన్నప్పుడు ఇది జరిగింది.

NCPI మరియు CERT-in ‌లకు సమాచారం ఇచ్చిన తర్వాత కూడా డేటా బహిర్గతమవుతుంది

ఉల్లంఘనపై దర్యాప్తు చేసిన తరువాత, vpnMentor మొదట వెబ్‌సైట్ డెవలపర్ CSC ఇ-గవర్నెన్స్‌కు చేరుకుంది, దీనికి వారు సమాధానం పొందలేదు. ఆ తరువాత, ఈ బృందం భారతదేశం యొక్క కంప్యూటర్ ఎమర్జెన్సీ రెస్పాన్స్ టీం (CERT-in) ను రెండుసార్లు సంప్రదించింది, మరియు రెండవ ఉదాహరణ తర్వాత మాత్రమే ఉల్లంఘన ప్లగ్ చేయబడింది.మొత్తానికి, ఈ వెబ్‌సైట్ ఇప్పుడు తొలగించబడింది.

logo
Raja Pullagura

Web Title: Financial and personal data of more than 7 million users left exposed in CSC BHIM website breach but NCPI denies allegations

Digit caters to the largest community of tech buyers, users and enthusiasts in India. The all new Digit in continues the legacy of Thinkdigit.com as one of the largest portals in India committed to technology users and buyers. Digit is also one of the most trusted names when it comes to technology reviews and buying advice and is home to the Digit Test Lab, India's most proficient center for testing and reviewing technology products.

మేము -9.9 వంటి నాయకత్వం గురించి! భారతదేశం నుండి ఒక ప్రముఖ మీడియా సంస్థను నిర్మించడం. మరియు, ఈ మంచి పరిశ్రమ కోసం నూతన నాయకులను తయారుచేయడానికి.

DMCA.com Protection Status