Los millones de clientes de BHIM, una aplicación india de pagos móviles desarrollada por la Corporación Nacional de Pagos de India (NPCI), tienen razones para estar sumamente enfadados. Y es que si ayer terminábamos el día hablando sobre una filtración de datos provocada por el uso incorrecto de un bucket de AWS, hoy empezamos con otro caso similar. Eso sí, ayer hablábamos de 2.700 afectados, un número que queda reducido casi a la nada en comparación con los más de siete millones de ciudadanos indios afectados por esta filtración.
Y es que, tras llevar a cabo una investigación, los técnicos de vpnMentor descubrieron recientemente el bucket S3 conectado a un sitio web que se está utilizando para realizar campañas de promoción con el fin de captar usuarios y negocios para que adopten este sistema de pago. Y, en el mismo, los datos pertenecientes a millones de ciudadanos indios que se habían registrado para usar BHIM y que habían quedado expuestos y sin cifrar por una mala configuración del bucket.
¿Y qué datos había en el repositorio de BHIM? Escaneos de tarjetas de identificación nacionales, fotos utilizadas como prueba de residencia, certificados profesionales, títulos y diplomas, nombres, fechas de nacimiento y religión. También se incluyeron en el conjunto de datos los números de identificación de los programas gubernamentales, capturas de pantalla de estados financieros, identificadores biométricos, como los escaneos de huellas digitales… la lista es interminable, pero interminable de verdad.
Dicho de otra manera: con esta filtración, los responsables de BHIM han dejado al alcance de todo el mundo los perfiles personales y financieros de más de siete millones de ciudadanos. Y hay algo todavía más indignante: la respuesta de NPCI, que negó que los datos de los usuarios se hubieran visto comprometidos, e instó a sus usuarios a no caer en lo que describieron como noticias especulativas. La organización afirmó que seguía prácticas altamente seguras y un «enfoque integral» para proteger su infraestructura de pagos y los datos de los usuarios. Basta con ver el informe de vpnMentor para ver una muestra del contenido del bucket.
Además de los datos sobre individuos, el bucket también contenía listas masivas en formato CSV, con información sobre las empresas que se habían inscrito en BHIM y los ID utilizados por los propietarios de negocios para realizar transferencias de pagos a través de la aplicación. Las identificaciones similares que pertenecen a más de 1 millón de personas también pueden haber estado potencialmente expuestas a través del contenedor S3 mal configurado. Tales identificaciones facilitan mucho el acceso ilegal de los ciberdelincuentes a las cuentas bancarias que pertenecen a las personas afectadas.
Imagen: Horst Gutmann
La entrada BHIM: otra filtración masiva… e incomprensible es original de MuySeguridad. Seguridad informática.