Technology

लाखों BHIM उपयोगकर्ताओं के व्यक्तिगत और वित्तीय डेटा ऑनलाइन उजागर हुए

According to vpnMentor, the exposed data included scans of Aadhaar cards, caste certificates, photos used as proof of residence, professional certificates and degrees, screenshots taken within financial and banking apps as proof of fund transfers along with Permanent Account Number (PAN) card detailsPhoto: Priyanka Parashar/Mint

नई दिल्ली: अप्रैल में ऑनलाइन सिक्योरिटी फर्म vpnMentor द्वारा गलत तरीके से अमेजन वेब सर्विसेज S3 बकेट पर करोड़ों BHIM या भारत इंटरफेस के मनी यूजर्स के वित्तीय और व्यक्तिगत डेटा को उजागर किया गया।

इस मुद्दे की सूचना 28 अप्रैल को सीईआरटी-इन को दी गई थी। 22 मई को उल्लंघन को बंद कर दिया गया था।

S3 बाल्टियाँ क्लाउड स्टोरेज का एक लोकप्रिय रूप हैं, लेकिन इसके लिए डेवलपर्स को अपने खातों पर सुरक्षा प्रोटोकॉल स्थापित करने की आवश्यकता होती है। सार्वजनिक रूप से देखा जा सकने वाला S3 बाल्टी AWS का दोष नहीं है। यह बाल्टी के मालिक द्वारा एक निरीक्षण का परिणाम है।

VpnMentor टीम ने फरवरी 2019 के बाद से एक उजागर S3 बाल्टी को csc-bhim लेबल रिकॉर्ड के साथ पाया। 409GB के कुल फ़ाइल आकार के साथ लगभग 7.26 मिलियन रिकॉर्ड इस दौरान अपलोड किए गए थे।

उजागर किए गए डेटा को एक वेबसाइट से जोड़ा गया था जिसका उपयोग नए उपयोगकर्ताओं और व्यापारियों को ऐप के लिए साइन अप करने के लिए एक अभियान के लिए किया जा रहा था।

VpnMentor के अनुसार, उजागर किए गए डेटा में आधार कार्ड के स्कैन, जाति प्रमाण पत्र के स्कैन, निवास के प्रमाण के रूप में इस्तेमाल किए गए फोटो, पेशेवर प्रमाण पत्र और डिग्री, वित्तीय और बैंकिंग ऐप के भीतर लिए गए स्क्रीनशॉट, स्थायी खाता संख्या (पैन) के साथ फंड ट्रांसफर के सबूत के रूप में शामिल हैं। कार्ड के विवरण।

इन सभी दस्तावेजों और स्कैन ने उपयोगकर्ताओं के बारे में व्यक्तिगत जानकारी दी, जिसमें उनके नाम, जन्म तिथि, फोटो और बायोमेट्रिक विवरण जैसे कि फिंगरप्रिंट स्कैन शामिल हैं।

S3 बाल्टी ने UPI ID के साथ अन्य व्यवसायों के साथ BHIM पर साइन किए गए व्यापारियों और नाबालिगों के CSV सूचियों के दस्तावेज और PII डेटा भी ले गए।

शोधकर्ताओं का मानना ​​है कि संवेदनशील डेटा की मात्रा, जो BHIM ऐप के डेवलपर्स द्वारा इस निरीक्षण के कारण उजागर हुई है, गहराई से संबंधित है और यह महसूस करती है कि यह बैंक द्वारा संग्रहीत लाखों निजी उपयोगकर्ता डेटा सहित संपूर्ण डेटा अवसंरचना तक पहुंच प्राप्त करने वाले हमलावरों के बराबर है।

यदि वह डेटा साइबर अपराधियों के हाथों में पड़ता है, तो इसमें शामिल उपयोगकर्ताओं के जीवन पर एक भयावह प्रभाव पड़ सकता है। शोधकर्ताओं ने कहा कि यह यूपीआई के माध्यम से बैंक खातों से चोरी, कर धोखाधड़ी और अनधिकृत रूप से धन की निकासी हो सकती है।

CSC की S3 बाल्टी में ग़लतफ़हमी की खोज एक वेब मैपिंग परियोजना के दौरान vpnMentor द्वारा की गई थी, जिसके लिए उनके शोधकर्ता विशेष आईपी ब्लॉक की जांच करने और कमजोरियों या कमजोरियों के लिए विभिन्न प्रणालियों का परीक्षण करने के लिए पोर्ट स्कैनिंग का उपयोग करते हैं। वे उजागर S3 बाल्टी पर ठोकर खा गए क्योंकि यह असुरक्षित और बिना लाइसेंस के छोड़ दिया गया था।

नेशनल पेमेंट्स कॉरपोरेशन ऑफ इंडिया (NPCI) द्वारा विकसित, BHIM दिसंबर 2016 में लॉन्च किया गया था और 2020 तक कथित तौर पर 136 मिलियन डाउनलोड किया गया है।

की सदस्यता लेना समाचार पत्र

* एक वैध ईमेल प्रविष्ट करें

* हमारे न्यूज़लैटर को सब्सक्राइब करने के लिए धन्यवाद।

Click to comment

Leave a Reply

Your email address will not be published. Required fields are marked *

Most Popular

To Top