KERENTANAN APLIKASI BHIM DILAPORKAN MEMAPARKAN DATA KEUANGAN JUTAAN PENGGUNA; NPCI MEMBANTAH KOMPROMI DATA

KERENTANAN APLIKASI BHIM DILAPORKAN MEMAPARKAN DATA KEUANGAN JUTAAN PENGGUNA; NPCI MEMBANTAH KOMPROMI DATA

KERENTANAN APLIKASI BHIM DILAPORKAN MEMAPARKAN DATA KEUANGAN JUTAAN PENGGUNA; NPCI MEMBANTAH KOMPROMI DATA

 

KERENTANAN APLIKASI BHIM DILAPORKAN MEMAPARKAN DATA KEUANGAN JUTAAN PENGGUNA; NPCI MEMBANTAH KOMPROMI DATA
KERENTANAN APLIKASI BHIM DILAPORKAN MEMAPARKAN DATA KEUANGAN JUTAAN PENGGUNA; NPCI MEMBANTAH KOMPROMI DATA

Sekelompok peretas etis pada hari Senin mengklaim telah menemukan kerentanan yang mempengaruhi jutaan pengguna aplikasi BHIM , sebuah klaim yang ditolak oleh NPCI yang mengoperasikan aplikasi pembayaran bernilai kecil.

Vpnmentor, yang mengklaim sebagai situs web tinjauan jaringan pribadi virtual terbesar yang menawarkan laboratorium penelitian yang membantu komunitas online mempertahankan diri terhadap ancaman dunia maya, menuduh bahwa telah terjadi “kebocoran data” yang ditemukan sehubungan dengan para pengguna aplikasi pembayaran .

Kelompok itu juga mengatakan bahwa situs web pemerintah India yang berfokus pada mendorong adopsi BHIM telah mengekspos data jutaan pengguna ke potensi penipuan.

Kerentanan aplikasi BHIM dilaporkan memaparkan data keuangan jutaan pengguna; NPCI membantah kompromi data
Gambar representasional. Gambar: Tech2

National Payments Corporation of India (NPCI) mengatakan belum ada kompromi data di App BHIM , yang memiliki

lebih dari 136 juta unduhan.

“Pengembang situs web CSC / BHIM dapat dengan mudah menghindari memaparkan data pengguna jika mereka telah mengambil beberapa langkah keamanan dasar untuk melindungi data,” kata Vpnmentor dalam sebuah pernyataan.

Kementerian Elektronika dan Teknologi Informasi memiliki inisiatif yang disebut CSC (Common Services Center) -BHIM, yang memiliki portal yang digunakan oleh agen lapangan sebagai bagian dari kampanye untuk mendorong adopsi aplikasi BHIM , oleh pedagang dan juga masyarakat umum.

Menurut Vpnmentor, data dari kampanye ini disimpan di “ember S3 Web Services S3 yang salah dikonfigurasikan” dan dapat diakses secara publik, membuatnya rentan terhadap penyalahgunaan untuk melakukan penipuan, pencurian, dan serangan dari peretas dan penjahat cyber.

Ini juga menyebut skala data yang terekspos sebagai “luar biasa”, dan mengelompokkan jumlah pengguna yang terekspos dalam “jutaan”, menambahkan bahwa 409 GB data yang diduga dilanggar memiliki lebih dari 70 catatan lakh.

“Kami ingin mengklarifikasi bahwa tidak ada kompromi data di Aplikasi BHIM dan meminta semua orang untuk tidak menjadi korban spekulasi semacam itu. NPCI mengikuti tingkat keamanan yang tinggi dan pendekatan terpadu untuk melindungi infrastrukturnya dan terus menyediakan ekosistem pembayaran yang kuat, “NPCI mengatakan dalam sebuah pernyataan.

Aplikasi ini diluncurkan pada 2016.

Pelanggaran itu ditemukan pada 23 April dan Tim Tanggap Darurat Komputer India dihubungi pada 28 April. CERT-IN merespons pada hari berikutnya dan 22 Mei telah dicatat sebagai tanggal tindakan dalam laporan Vpnmentor.

Lebih dari 70 lakh data pengguna yang diunggah pada Februari terungkap, kata laporan itu, sambil menambahkan catatan yang terpapar online termasuk pemindaian kartu Aadhaar, sertifikat kasta, bukti tempat tinggal, sertifikat dan derajat profesional, tangkapan layar transfer dana dan kartu PAN.

Data pribadi pengguna pribadi dalam dokumen-dokumen ini memberikan profil lengkap individu, keuangan mereka, dan catatan perbankan, katanya.

Dalam pernyataan yang dikeluarkan oleh Vpnmentor, peneliti keamanan siberanya Noam Rotem dan Ran Locar

mengatakan volume data sensitif dan pribadi yang terekspos, bersama dengan ID UPI, pemindaian dokumen, dan banyak lagi, membuat pelanggaran ini sangat memprihatinkan.

“Eksposur data pengguna BHIM serupa dengan peretas yang mendapatkan akses ke seluruh infrastruktur data bank, bersama dengan jutaan informasi akun penggunanya,” kata mereka dalam pernyataan itu.

Baca Juga: