Situs Web E-Governance India Bocorkan 7,26 Juta Data Pengguna Aplikasi BHIM
Ilustrasi
Cyberthreat.id - Sejumlah peneliti keamanan pada Minggu (31 Mei 2020) melaporkan terjadinya pelanggaran data yang terkait dengan situs web pemerintah India. Peneliti cybersecurity Noam Rotem dan Ran Locar dari vpnMentor menerbitkan laporan yang merinci pelanggaran sekitar 7,26 juta catatan yang terkait dengan situs web e-Governance.
Data yang bocor diekspos melalui bucket penyimpanan Amazon Web Services (AWS) S3 yang mengalami kesalahan konfigurasi dan berisi 409 GB data. Di dalamnya termasuk informasi profil sensitif dan data keuangan terkait pengguna aplikasi Bharat Interface for Money (BHIM).
BHIM adalah aplikasi pembayaran yang memberikan layanan kemudahan transaksi, sederhana, mudah, dan cepat menggunakan Unified Payments Interface (UPI). Pengguna dapat melakukan pembayaran bank langsung ke siapa pun di UPI menggunakan ID UPI atau memindai QR dengan aplikasi BHIM, termasuk meminta uang melalui aplikasi dari ID UPI.
Meskipun pelanggaran data ini dikaitkan dengan aplikasi BHIM yang semakin banyak digunakan, tetapi aplikasi itu sendiri tidak mengalami pelanggaran data.
Pelanggaran terjadi di salah satu situs web e-governance (https://cscbhim.in) yang dikembangkan untuk program Common Service Centres (CSC) yang memberikan layanan e-governance pemerintah India ke lokasi pedesaan dan terpencil, di mana ketersediaan komputer dan internet langka.
Data yang terkait dengan pengguna aplikasi BHIM disimpan di bucket S3 terbuka yang di-host oleh situs web CSC yang mengalami kebocoran.
National Payments Corporation of India (NPCI), pembuat aplikasi BHIM, dalam pernyataan pers mengakui telah mendapatkan laporan yang menyebut terjadinya pelanggaran data di App BHIM.
NPCI adalah organisasi payung untuk semua pembayaran ritel di India. Lembaga ini didirikan dengan bimbingan dan dukungan dari Reserve Bank of India (RBI) dan Indian Banks Association (IBA).
"Kami ingin mengklarifikasi tidak ada peretasan data di Aplikasi BHIM dan meminta semua orang untuk tidak menjadi korban spekulasi tersebut," demikian pernyataan NPCI dilansir The Indian Express, Selasa (2 Juni 2020).
Bucket AWS S3 yang bocor dapat diakses di internet tanpa otentikasi apa pun. Ini termasuk pemindaian kartu Aadhar pengguna, sertifikat kasta, nomor PAN, dan data pemohon PII lainnya, serta ID UPI pengguna. Data yang disimpan dalam bucket penyimpanan tertanggal Februari 2019.
Pengguna dapat terus menggunakan aplikasi BHIM sambil mengikuti semua praktik terbaik keamanan. Pada intinya aplikasi tersebut tidak mengalami insiden kebocoran data.
Pengguna yang datanya bocor akibat pelanggaran di situs e-governance tersebut harus mengambil tindakan yang diperlukan karena data dapat disalahgunakan untuk mengambil alih akun pengguna dan melakukan transaksi penipuan.
Pengguna aplikasi pembayaran online diminta mengambil tindakan pencegahan untuk mengamankan akun dengan menerapkan langkah-langkah keamanan yang disarankan seperti password yang kuat, unik, dan otentikasi dua faktor (2FA). Termasuk menanamkan prinsip "selalu menjaga informasi keuangan dan tidak pernah membagikannya dengan entitas yang tidak dikenal" terutama yang mengklaim mewakili bank atau lembaga keuangan.[]
