Données personnelles, détails des transactions de 37 000 utilisateurs divulgués en ligne, CIO News, ET CIO

Violation des données de BharatPay : données personnelles et détails des transactions de 37 000 utilisateurs divulgués en ligne

Le 13 août, la branche de renseignement sur les menaces de CloudSEK, XVigil, a découvert que la base de données principale de BharatPay contenant les informations personnelles des clients, le solde bancaire et les données de transaction du 1er février. 2018 à août. 2022 a été divulgué sur un forum de cybercriminalité.

BharatPay fournit divers services financiers numériques, notamment des transferts de fonds et des dépôts en espèces, aux clients ainsi qu’aux commerçants en s’associant à de nombreux réseaux de distribution dans toute l’Inde.

Selon le site Web de la société, BharatPay opère dans 11 États avec plus de 50 000 points de vente. L’entreprise propose également des cartes prépayées qui peuvent être délivrées à un client via son réseau de partenaires.

Pourquoi la violation de données est-elle importante ?

La base de données compromise comprend des noms d’utilisateur, des mots de passe hachés, des numéros de téléphone mobile et, dans certains cas, des identifiants UPI et des adresses e-mail. Les identifiants de messagerie officiels de plusieurs compagnies d’assurance et bancaires indiennes ont également été récupérés à partir de la base de données divulguée.

En plus des informations personnelles identifiables, ou PII, et des données financières sensibles des utilisateurs, les chercheurs ont découvert que les données de transaction et les clés API des facilitateurs de paiement de factures en ligne tels que Pathway Recharge (pour les paiements de factures de services publics et les recharges DTH) et M. La robotique a également été divulguée. En outre, des informations destinées aux fournisseurs de SMS ont également été exposées lors de la violation de données.

Les données divulguées comprennent des journaux de réponse de rappel, qui contiennent des informations sur le numéro de téléphone de l’entité de transaction, l’ID de transaction et le montant du solde bancaire – qui sont tous des éléments d’information sensibles. Les enregistrements de transactions, expliquent les chercheurs, sont un élément de preuve essentiel pour toute transaction financière entre deux entités.

Violation des données de BharatPay : données personnelles et détails des transactions de 37 000 utilisateurs divulgués en ligne

Les fuites de données contenant des PII et des informations financières sensibles exposent les utilisateurs au risque d’être la cible d’attaques de harponnage, d’hameçonnage ou de smishing par SMS et d’exploits d’ingénierie sociale.

De plus, les chercheurs nous disent que les données exposées pourraient doter la menace des informations nécessaires pour lancer des attaques sophistiquées de rançongiciels, l’exfiltration de données et le maintien de la persistance. “Ces informations peuvent être agrégées pour être ensuite vendues comme pistes sur les forums de cybercriminalité”, ajoutent-ils.

Un chercheur de CloudSEK a pu se procurer le vidage SQL auprès de l’auteur de la menace via une source. Une capture d’écran de la base de données divulguée a été partagée avec ETCISO. Une recherche préliminaire sur Truecaller avec les numéros de portable divulgués correspond aux noms d’utilisateur, indiquant que la violation est légitime. Le chercheur indépendant en sécurité Sunny Nehra confirme également que les données divulguées sont vérifiées.

Le vidage de données comprenait des informations sur 32 banques partenaires ainsi que les coordonnées de leurs employés. Les partenaires répertoriés comprennent de grandes banques telles que Reserve Bank of India, State Bank of India, HDFC, Axis Bank, Syndicate Bank, Yes Bank et Punjab National Bank, entre autres.

“L’acteur de la menace avait également accès à la base de données des configurations de l’API qui lui permettait de manipuler ce qui est déduit comme des remises et des commissions pour les plans de financement de BharatPay”, expliquent les chercheurs.

BharatPay n’a pas répondu aux questions d’ETCISO pour savoir si CERT-in et les clients de l’entreprise ont été informés de l’incident de sécurité et comment il prévoit d’atténuer la violation.

Le code montre que BharatPay a utilisé un module jQuery et une version PHP obsolètes

La cause de la violation semble être une version obsolète du logiciel. Selon les chercheurs de CloudSEK, la version PHP du vidage SQL s’est avérée être la version 4.9.7, qui a été déployée en octobre 2020.

Nehra dit à ETCISO que le site Web utilisait des modules jQuery obsolètes. Un échantillon qu’il a partagé montre que le code utilise une version 2014. (voir ci-dessous)

/*! jQuery v2.1.1 | (c) 2005, 2014 jQuery Foundation, Inc. | jquery.org/license */

“Le jQuery obsolète présente également une pollution prototype et d’autres défauts”, déclare Nehra.

Selon la base de données de vulnérabilités du NIST, les hackers polluent les prototypes (CVE-2018-16487) pour injecter des propriétés dans les prototypes de construction de langage JavaScript existants, permettant ainsi de modifier les attributs des objets.

Le pirate peut alors propager une attaque par déni de service (DoS) ou par exécution de code à distance.

Les chercheurs de CloudSEK recommandent de corriger les terminaux vulnérables et exploitables, de ne pas stocker les mots de passe en texte clair et d’activer l’authentification multifacteur.

De plus, la recherche d’anomalies dans les comptes d’utilisateurs pourrait avertir les entreprises d’éventuelles prises de contrôle de compte, disent-ils.

Les cibles précédentes du pirate BharatPay : Manappuram Finance et Airtel Payments Bank

Selon les chercheurs de CloudSEK, l’acteur menaçant (TA) est actif depuis mars 2022 et a été observé ciblant des institutions financières indiennes, telles que Manappuram Finance et Airtel Payments Bank.

“L’auteur de la menace est considéré comme une source fiable et a fourni des informations valides dans le passé”, ajoutent les chercheurs.

La réputation de l’acteur menaçant sur les forums de cybercriminalité et son ascension fulgurante sont également corroborées par le chercheur Sunny Nehra. Le TA a un score de réputation de 967 et a atteint le «statut de Dieu» en un laps de temps assez court.

Ajoutant à la popularité du pirate informatique, il y a aussi le fait que les bases de données divulguées ont été vendues à un prix dérisoire – seulement 8 points de crédit sur le forum de la cybercriminalité.

.

Leave a Comment