BHIM ऐप भी असुरक्षित! लीक हो चुका है 72.6 लाख यूजर्स का डेटा, अकाउंट तक पहुंच सकते हैं हैकर्स


  • VPN रिव्यू वेबसाइट vpnMentor ने अपनी रिपोर्ट में कहा कि उजागर हुए डेटा में कई संवेदनशील जानकारी शामिल
  • सुरक्षा शोधकर्ताओं ने कहा “उजागर किए गए डेटा का पैमाना असाधारण है, यह लाखों लोगों को प्रभावित करता सकता है

दैनिक भास्कर

Jun 01, 2020, 06:14 PM IST

नई दिल्ली. सुरक्षा शोधकर्ताओं ने पाया है कि मोबाइल भुगतान ऐप BHIM के यूजर्स से जुड़े लगभग 72.6 लाख रिकॉर्ड को एक वेबसाइट द्वारा जनता के सामने उजागर कर दिया गया था। VPN रिव्यू वेबसाइट vpnMentor की रिपोर्ट में कहा गया है कि उजागर किए गए डेटा में कई संवेदनशील जानकारी जैसे नाम, जन्मतिथि, उम्र, लिंग, घर का पता, जाति की स्थिति और आधार कार्ड का विवरण आदि जैसी शामिल हैं।
रविवार को एक ब्लॉग पोस्ट में vpnMentor के सुरक्षा शोधकर्ताओं ने लिखा, “उजागर किए गए डेटा का पैमाना असाधारण है। यह पूरे भारत में लाखों लोगों को प्रभावित करता सकता है। इसका फायदा उठाकर हैकर्स और साइबर अपराधियों द्वारा विनाशकारी धोखाधड़ी, चोरी, और हमले को भी अंजाम दिया जा सकता है।”

शोधकर्ताओं ने डेवलपर्स से दो बार संपर्क कर जानकारी दी

  • हालांकि इस खामी पर उस समय काबू पाया गया जब शोधकर्ताओं ने भारत के कंप्यूटर इमरजेंसी रिस्पांस टीम (सीईआरटी-इन) को एक महीने में दो बार संपर्क कर इसकी जानकारी दी। जिसकी बाद पिछले महीने यह उल्लंघन बंद कर दिया गया था। BHIM वेबसाइट को CSC ई-गवर्नेंस सर्विसेज लिमिटेड नामक कंपनी ने भारत सरकार के साथ साझेदारी में डेवलप किया है।
  • शोधकर्ताओं ने कहा, “इस मामले में, डेटा एक असुरक्षित अमेज़न वेब सर्विसेस (AWS) S3 बकेट में स्टोर किया गया था। शोधकर्ताओं ने कहा कि S3 बकेट दुनिया भर में क्लाउड स्टोरेज का एक लोकप्रिय रूप है, लेकिन सुरक्षा प्रोटोकॉल स्थापित करने के लिए डेवलपर्स को उनके अकाउंट की आवश्यकता होती है।
  • उन्होंने कहा कि “हम वेबसाइट डेवलपर्स के पास उनकी S3 बकेट में गलत कॉन्फ़िगरेशन की सूचना देने और अपनी सहायता प्रदान करने के लिए पहुंचे। जवाब न मिलने के बाद हमने भारत की कंप्यूटर इमरजेंसी रिस्पांस टीम (CERT-In) से संपर्क किया, जो देश में साइबर सिक्योरिटी से संबंधित है, “।

उजागर किया गया डेटा 409GB का था

  • vpnMentor के नोआम रोटेम और रान लोकार की अगुवाई में किए गए शोध में सामने आया कि CSC ने देशभर में BHIM उपयोग को बढ़ावा देने के लिए गलत S3 बकेट से जुड़ी वेबसाइट की स्थापना की और नए व्यापारी व्यवसायों, जैसे मैकेनिक, किसान, सेवा प्रदाता और ऐप पर स्टोर मालिकों को साइन अप किया। उजागर हुए डेटा जिसे पहली बार 23 अप्रैल को सुरक्षा शोधकर्ताओं द्वारा खोजा गया था की मात्रा वॉल्यूम 409GB थी।
  • रिपोर्ट में कहा गया है, “ठीक-ठीक कहना मुश्किल है, लेकिन S3 बकेट में छोटी अवधि (फरवरी 2019) से रिकॉर्ड दर्ज थे। हालांकि, इतने कम समय के भीतर, 70 लाख से अधिक रिकॉर्ड अपलोड और उजागर किए गए थे।

2016 में लॉन्च हुआ था BHIM ऐप

  • BHIM उपयोगकर्ता डेटा का उजागर होने से कोई भी हैकर बैंक के संपूर्ण डेटा इंफ्रास्ट्रक्चर तक पहुंच बना सकता है, साथ ही इसके लाखों उपयोगकर्ताओं की खाता जानकारी भी ले सकता  है। नेशनल पेमेंट्स कॉरपोरेशन ऑफ़ इंडिया (NPCI) द्वारा पेश किया गया, ऐप BHIM या भारत इंटरफेस फॉर मनी 2016 में लॉन्च किया गया था।



Source link

Be the first to comment

Leave a Reply