🚀 أصبحت CloudSek أول شركة للأمن السيبراني من أصل هندي تتلقى استثمارات منها ولاية أمريكية صندوق
اقرأ المزيد
مثل معظم الناس، ربما استيقظت على الأخبار التي تفيد بأن 409 غيغابايت من المعلومات الحساسة، المتعلقة بتطبيق BHIM، قد تم الكشف عنها للجمهور. في تقريرهم مرشد الشبكة الخاصة الافتراضية ينص على أنه تم الكشف عن حوالي 7.26 مليون سجل على مجموعة Amazon S3 غير الآمنة التابعة لـ http://cscbhim.in/، والتي هي تحت https://csc.gov.in/ موقع. كان هناك الكثير من التكهنات حول الخرق، ومن يؤثر عليه، وإلى أي مدى. دعونا نفهم تفاصيل تسرب البيانات، حتى نتمكن من اتخاذ الاحتياطات الصحيحة، بدلاً من ملاحقة رجل القش.
الأسطورة مقابل الحقيقة
1. البيانات المكشوفة لا تنتمي إلى مستخدمي تطبيق BHIM
الخرافة:
تم الكشف عن المعلومات الشخصية والحساسة لملايين الهنود الذين يستخدمون تطبيق BHIM.حقيقة:
نعم، تم الكشف عن البيانات على مجموعة Amazon S3 غير الآمنة. ومع ذلك، لا تقوم مجموعة S3 هذه بتخزين البيانات من تطبيق BHIM، ولكن من تطبيق CSC-BHIM الذي تم تطويره وصيانته بواسطة مراكز الخدمات المشتركة (CSC) خدمات الحوكمة الإلكترونية الهندية المحدودة.ما هي حوكمة CSC الإلكترونية وكيف ترتبط بـ BHIM؟
مخطط CSC هو مشروع في إطار البرنامج الهندي الرقمي الذي يهدف إلى تقديم خدمات المرافق العامة الأساسية وخطط الرعاية الاجتماعية والرعاية الصحية والخدمات المالية والتعليمية والزراعية. تعمل CSC e-government على تقديم هذه الخدمات من خلال شبكة تدعم تكنولوجيا المعلومات تربط السكان المحليين بالإدارات الحكومية والبنوك وشركات التأمين والمؤسسات التعليمية.يتم استخدام موقع CSC-BHIM بواسطة CSC للحوكمة الإلكترونية لإشراك الشركات الصغيرة والمزارعين في تطبيق BHIM. لذلك، ما لم تكن مديرًا لرائد أعمال على مستوى القرية (VLE)، أو تاجرًا مرتبطًا قام بتسجيل الدخول إلى تطبيق BHIM في فبراير 2019، من خلال مبادرة CSC للحوكمة الإلكترونية، فلن تتأثر بياناتك.2. الهاكرز لم تفعل وجدت ثغرة أمنية في تطبيق BHIM
الخرافة:
اكتشف المتسللون ثغرة تتيح لهم الوصول إلى بيانات مستخدمي تطبيق BHIM.حقيقة:
لفتح حساب BHIM، يطلب التطبيق رقم حسابك المصرفي ورقم الهاتف المحمول المرتبط به. وبالنسبة لحساب التاجر، يحتاج التطبيق فقط إلى اسم النشاط التجاري وفئة التاجر والعنوان والدولة والرمز السري، بالإضافة إلى رقم الحساب ورقم الهاتف المحمول. بصرف النظر عن هذه التفاصيل، يقوم تطبيق BHIM بتخزين تفاصيل المعاملات الخاصة بك. ومع ذلك، كما هو موضح في التقرير، لم يتم الكشف عن تفاصيل الحساب المصرفي أو تفاصيل المعاملات. بدلاً من ذلك، كشفت عن تفاصيل لا يطلبها تطبيق BHIM أو يخزنها، بما في ذلك:- مسح بطاقات Aadhaar
- عمليات مسح لشهادات الطبقات
- الصور المستخدمة كدليل على الإقامة
- الشهادات المهنية والدرجات والدبلومات
- لقطات شاشة تم التقاطها داخل التطبيقات المالية والمصرفية كدليل على تحويلات الأموال
- بطاقات رقم الحساب الدائم (PAN) (المرتبطة بخدمات ضريبة الدخل الهندية)
- الاسم
- تاريخ الميلاد
- العمر
- الجنس
- عنوان المنزل
- الديانة
- حالة الطبقة
- التفاصيل البيومترية
- صور الملف الشخصي والهوية، مثل مسح بصمات الأصابع
- أرقام الهوية للبرامج الحكومية وخدمات الضمان الاجتماعي
3. تم الكشف عن البيانات غير قادر يمكن استخدامها لفتح حساب BHIM
الخرافة:
يزعم التقرير أن «هذه السجلات حساسة للغاية، بما في ذلك العديد من المستندات اللازمة لفتح حساب على BHIM».حقيقة:
كما رأينا في القسم السابق، يتحقق تطبيق BHIM فقط من رقم حسابك المصرفي ورقم الهاتف المحمول المرتبط به. بالإضافة إلى ذلك، فإنه يرسل رمز التحقق للتحقق من رقمك. لذلك، لا يمكن استخدام هذه المستندات بحد ذاتها لفتح حساب BHIM.4. معرفات UPI المسربة لا تفعل إعطاء المتسللين معلومات حول الشؤون المالية للشخص وحساباته المصرفية
الخرافة:
يشير التقرير إلى أن ملفات CSV، التي تحتوي على الأسماء التجارية للتجار ومعرفات UPI، تمنح المتسللين «معلومات حول الشؤون المالية للشخص وحساباته المصرفية. ستجعل هذه البيانات الوصول غير القانوني إلى هذه الحسابات أسهل بكثير».ويمضي التقرير في الادعاء بأن: «تعرض بيانات مستخدم BHIM يشبه وصول الهاكر إلى البنية التحتية الكاملة لبيانات البنك، إلى جانب الملايين من معلومات حساب مستخدميه».حقيقة:
كما يعلم أي شخص يستخدم تطبيق BHIM للمعاملات، فإن معرف UPI الخاص بالشخص أو التاجر لا يقدم أي معلومات حول شؤونه المالية وحساباته المصرفية. بدلاً من ذلك، تتم مشاركتها بحرية بين الأشخاص، وعرضها بشكل بارز من قبل معظم الشركات، لتنفيذ المعاملات على التطبيق. كما أن معرفات UPI وأسماء الأعمال ليست مثل الوصول إلى البنية التحتية للبنك، لأنها لا تكشف عن أرقام حسابات مستخدمي BHIM أو أرصدتهم أو معاملاتهم.كيف تتعامل مع تسرب البيانات؟
الآن بعد أن علمنا أن تسرب البيانات لا يؤثر على مستخدمي تطبيق BHIM، يمكننا معالجة تأثيره الفعلي، وبعض الإجراءات الاحترازية لمنع إساءة استخدام البيانات.من يجب أن يشعر بالقلق؟
- مديرو رواد الأعمال على مستوى القرية (VLE)، وهم شركاء CSC يساعدون التجار على متن الطائرة.
- التجار الذين قاموا بتسجيل الدخول إلى تطبيق BHIM، من خلال مبادرة CSC للحوكمة الإلكترونية، في فبراير 2019 وما حوله.
ما هو تأثير التعرض للبيانات؟
ليس هناك من ينكر أن الكشف عن معلومات التعريف الشخصية (PII) يعد خرقًا للخصوصية ولا يمكن التقليل من تأثيره. إنه يجعل الأشخاص، الذين تم الكشف عن بياناتهم، أهدافًا رئيسية للجهات الفاعلة في مجال التهديد. من المحتمل أن يكون الضحايا عرضة لمجموعة واسعة من الهجمات بما في ذلك سرقة الهوية وهجمات التصيد الاحتيالي وتكتيكات الهندسة الاجتماعية.ما هي بعض الاحتياطات التي يجب على الضحايا اتخاذها؟
- استخدم كلمات مرور قوية يصعب استخدام القوة الغاشمة فيها.
- احذر من المكالمات أو رسائل البريد الإلكتروني التي يقوم فيها المتصل أو المرسل بتفصيل معلوماتك الشخصية.
- حذر عائلتك وأصدقائك من الجهات الفاعلة المهددة التي تفترض هويتك للاحتيال عليهم.
- لا تشارك OTPs أو رموز التحقق مع أي شخص.
