行业新闻与博客

移动支付应用程序 Bharat Money 界面（BHIM）的重大数据泄露事件已经暴露了数百万印度人的个人和财务数据。

BHIM 在注册活动期间未能安全地存储从用户和企业收集的大量数据之后，发生了该漏洞。

4月23日，vpnMentor 的研究人员   做出了令人震惊的  发现  ，即与该活动有关的所有数据在存储在配置错误的 Amazon Web Services S3 存储桶中后，可以公开访问。

研究人员写道：“暴露数据的规模异常大，影响了印度成千上万的人，并使他们面临潜在的毁灭性欺诈，盗窃以及黑客和网络犯罪分子的攻击。”  

违规中暴露的数据包括 Ardaar 卡（印度的国家身份证）扫描，种姓证书，专业和教育证书，用作居住证明的照片，与印度所得税服务相关的永久帐号（PAN）卡以及在其中捕获的屏幕截图金融和银行应用程序作为资金转移的证明-开设 BHIM 帐户所需的所有文件。

这些文档中包含的私人个人用户数据包括姓名，出生日期，年龄，性别，家庭住址，种姓身份，宗教信仰，生物特征详细信息，指纹扫描，身份证照片以及政府计划和社会保障服务的身份证号码。

自 2019年2月以来，已有超过 700 万条记录被暴露，其中一些属于 18 岁以下的人。

在调查了该漏洞之后，vpnMentor 的团队发现 BHIM 不安全地存储了 409 GB 的数据，该数据通过网站 www.cscbhim.in 运行。研究人员将其追溯到 BHIM，当时它被标记为“ csc-bhim”。

研究人员将发现的情况告知了 BHIM，但没有收到答复，因此与印度的计算机紧急响应小组（CERT-In）联系。 

研究人员写道：“许多星期后，我们第二次联系了 CERT。” “此后不久，违规行为就被关闭了。”

印度移动支付应用程序于 2016年推出，旨在通过用户的智能手机促进即时电子支付和银行账户之间的汇款。根据非营利性企业财团印度国家支付公司（NPCI）的数据，到 2020年，该流行应用已被下载 1.36 亿次。

本文由机器译制