导读 流行的基于移动的支付应用程序BHIM处于扫描程序之下,用于公开该国超过700万用户的机密数据。根据报告,数据存储在配置错误的Amazon Web
流行的基于移动的支付应用程序BHIM处于扫描程序之下,用于公开该国超过700万用户的机密数据。根据报告,数据存储在配置错误的Amazon Web Service S3存储桶中,可以轻松访问。
根据vpnMentor的研究人员,印度用户已经获得了409GB的数据。该报告强调,个人和几位商人的数据是不安全的,这可能暴露出潜在的欺诈,身份盗窃或黑客可能利用这些信息来攻击用户。
该报告强调,S3存储桶包含用户的个人记录,包括对Adhaar卡,种姓证书的扫描,居住证明,专业证书,学位和文凭的照片,在金融和银行应用程序中作为转移证明的屏幕截图,PAN号码。该数据还泄露了个人用户数据,包括姓名,出生日期,年龄,性别,家庭住址,宗教,种姓状态,生物特征详细信息,个人资料和ID照片(作为指纹扫描),政府程序和安全服务的ID号。
此外,S3存储桶包含未成年人的文档和PII数据以及签署BHIM的大型商户CSV列表,以及商户的UPI ID号。同样,还公开了单个应用程序用户的CSV列表及其UPI ID,其中包含超过一百万个此类条目。
该报告补充说,这个不安全的软件包是在4月23日首次发现的,研究人员与BHIM开发人员联系,以通知他们有关S3存储桶的信息,尽管没有任何回应。然后研究人员就安全漏洞到达印度的计算机紧急响应小组(CERT-In),该漏洞大约在2020年5月22日之前关闭。