Technology

BHIM उपयोगकर्ताओं के रिकॉर्ड कथित रूप से उजागर हुए लेकिन समझौता नहीं किया गया, NPCI किसी भी चूक से इनकार करता है

vpnMentor claims the issue was reported to CERT-In on April 28 and the lapse was addressed on May 22. (Photo: Priyanka Parashar/Mint)

CSC ई-गवर्नेंस सर्विसेज इंडिया लिमिटेड द्वारा BHIM या भारत इंटरफेस फॉर मनी के लिए लाखों व्यक्तिगत और वित्तीय रिकॉर्ड ऑन-बोर्ड किए जाने का मतलब था, इज़राइल स्थित किसी अन्य सुरक्षा अनुसंधान फर्म vpnMentor द्वारा गलत तरीके से बनाई गई अमेज़न वेब सर्विसेज (AWS) S3 बाल्टी। अप्रैल। BHIM ऐप के माध्यम से कोई डेटा उजागर नहीं किया गया था। यह कथित रूप से एक सीएससी वेबसाइट के माध्यम से उजागर किया गया था, हालांकि कंपनी ने विवादित है। किसी भी मामले में कोई डेटा समझौता नहीं किया गया था।

vpnMentor का दावा है कि यह समस्या CERT-In को 28 अप्रैल को बताई गई थी और 22 मई को चूक को संबोधित किया गया था।

“CSC BHIM वेबसाइट के डेवलपर्स आसानी से उपयोगकर्ता डेटा को उजागर करने से बच सकते थे, अगर उन्होंने इसे बचाने के लिए कुछ बुनियादी सुरक्षा उपाय किए होते,” vpnMentor के शोधकर्ताओं ने कहा।

CSC ई-गवर्नेंस सर्विसेज इंडिया लिमिटेड ने आरोपों का खंडन किया है।

सीएससी ई-गवर्नेंस सर्विसेज इंडिया के सीईओ दिनेश त्यागी ने कहा, “यह दावा गलत है क्योंकि हमने पूरी प्रक्रिया में आधार डेटा को कभी कैप्चर नहीं किया।” पुदीना।

BHIM ऐप के मूल संरक्षक, नेशनल पेमेंट्स कॉरपोरेशन ऑफ़ इंडिया (NPCI) ने दोहराया कि BHIM ऐप के अंत में कोई डेटा समझौता नहीं किया गया था। मिंट को एक बयान में, NPCI ने कहा, “हम कुछ समाचार रिपोर्टों के बारे में आए हैं जो BHIM ऐप पर डेटा उल्लंघन का सुझाव देते हैं। हम स्पष्ट करना चाहेंगे कि BHIM ऐप में कोई डेटा समझौता नहीं हुआ है और सभी से अनुरोध है कि वे इस तरह की अटकलों का शिकार न हों। एनपीसीआई अपने बुनियादी ढांचे की सुरक्षा के लिए उच्च स्तर की सुरक्षा और एक एकीकृत दृष्टिकोण का पालन करता है और एक मजबूत भुगतान पारिस्थितिकी तंत्र प्रदान करना जारी रखता है ”।

CSC ई-गवर्नेंस सर्विसेज इंडिया लिमिटेड इलेक्ट्रॉनिक्स और आईटी मंत्रालय (MEITY) द्वारा स्थापित एक विशेष प्रयोजन वाहन है। सवाल में सीएससी वेबसाइट की स्थापना BHIM के उपयोग को बढ़ावा देने और अधिक उपयोगकर्ताओं और व्यापारियों को इसके लिए साइन अप करने के लिए की गई थी।

S3 बाल्टी AWS द्वारा क्लाउड स्टोरेज का एक रूप है जिसके लिए डेवलपर्स को अपने खातों पर सुरक्षा प्रोटोकॉल सेट करने की आवश्यकता होती है। सार्वजनिक रूप से देखा जा सकने वाला S3 बाल्टी AWS का दोष नहीं है। यह बाल्टी के मालिक द्वारा एक निरीक्षण का परिणाम है।

VpnMentor के शोधकर्ताओं ने पाया कि उजागर S3 बाल्टी को csc-bhim लेबल किया गया था और फरवरी 2019 से इसने रिकॉर्ड बनाया। 409GB के कुल फ़ाइल आकार के साथ लगभग 7.26 मिलियन रिकॉर्ड इस दौरान अपलोड किए गए थे।

CSC की S3 बाल्टी में ग़लतफ़हमी की खोज एक वेब मैपिंग परियोजना के दौरान vpnMentor द्वारा की गई थी, जिसके लिए उनके शोधकर्ता विशेष आईपी ब्लॉक की जांच करने और कमजोरियों या कमजोरियों के लिए विभिन्न प्रणालियों का परीक्षण करने के लिए पोर्ट स्कैनिंग का उपयोग करते हैं। वे उजागर S3 बाल्टी पर ठोकर खाए क्योंकि यह अनएन्क्रिप्टेड छोड़ दिया गया था।

इसके अलावा, उन्होंने पाया कि उजागर किए गए डेटा में आधार कार्ड के स्कैन, जाति प्रमाण पत्र के स्कैन, निवास के प्रमाण के रूप में उपयोग किए गए फोटो, पेशेवर प्रमाण पत्र और डिग्री, वित्तीय और बैंकिंग ऐप के भीतर लिए गए स्क्रीनशॉट, स्थायी खाता संख्या (पैन) के साथ फंड ट्रांसफर के सबूत के रूप में शामिल हैं। ) कार्ड के विवरण।

इन सभी दस्तावेजों और स्कैन ने उपयोगकर्ताओं के बारे में व्यक्तिगत जानकारी दी, जिसमें उनके नाम, जन्म तिथि, फोटो और बायोमेट्रिक विवरण जैसे फिंगरप्रिंट स्कैन शामिल हैं।

सिक्योरिटी रिसर्चर के प्रमुख नोम रोटम ने कहा, “सार्वजनिक डोमेन या आपराधिक हैकर्स के हाथों में इस तरह के संवेदनशील वित्तीय आंकड़े होने से लोगों के साथ छल, अवहेलना और चोरी करना अविश्वसनीय रूप से आसान हो जाएगा।”

यह बैंक खातों से धन की चोरी, कर धोखाधड़ी और अनधिकृत निकासी की पहचान कर सकता है।

की सदस्यता लेना समाचार पत्र

* एक वैध ईमेल प्रविष्ट करें

* हमारे न्यूज़लैटर को सब्सक्राइब करने के लिए धन्यवाद।

Click to comment

Leave a Reply

Your email address will not be published. Required fields are marked *

Most Popular

To Top