印度移動(dòng)支付應(yīng)用程序的數(shù)據(jù)通過S3泄露

屬于數(shù)百萬印度公民的數(shù)據(jù)已經(jīng)簽約使用了名為BHIM的移動(dòng)支付應(yīng)用程序，在暴露于未配置加密的Amazon S3存儲(chǔ)中，可能會(huì)面臨濫用的風(fēng)險(xiǎn)。

研究人員最近發(fā)現(xiàn)，S3存儲(chǔ)連接到一個(gè)網(wǎng)站，該網(wǎng)站被用來推廣支付應(yīng)用程序

在一份報(bào)告中，研究人員表示存儲(chǔ)中包含409GB的數(shù)據(jù)，有約726萬條記錄，其中包含開設(shè)BHIM帳戶所需的信息。數(shù)據(jù)包括國民身份證的掃描；用作居住證明的照片；專業(yè)證書，學(xué)位和文憑；以及姓名，出生日期和宗教信仰。數(shù)據(jù)集中還包括政府計(jì)劃的ID號(hào)和生物特征識(shí)別符，例如指紋掃描。

數(shù)據(jù)中包含的個(gè)人用戶數(shù)據(jù)提供了“個(gè)人，其財(cái)務(wù)狀況和銀行記錄的完整檔案”。它指出：“在公共領(lǐng)域擁有如此敏感的財(cái)務(wù)數(shù)據(jù)或犯罪黑客的手中，將使欺騙，欺詐和從被暴露的人們那里竊取變得異常容易。”

除了個(gè)人數(shù)據(jù)外，S3存儲(chǔ)還包含“大量CSV列表”，其中包含已注冊BHIM的商家信息以及企業(yè)主用于通過該應(yīng)用進(jìn)行付款轉(zhuǎn)帳的ID。屬于超過100萬個(gè)人的類似ID也可能已通過錯(cuò)誤配置的S3存儲(chǔ)桶而被暴露。研究人員表明，這樣的ID使黑客更容易非法訪問屬于受影響個(gè)人的銀行帳戶。