Az Aditya Birla Capital Digital (ABCD) helyreállította az ügyfél aranyát, aki elveszett a hackerek számára, és kriminalisztikai ellenőrzést végzett az ügyről, még akkor is, ha a jogsértés kiemeli az alkalmazás interfész protokollok (API) körüli sebezhetőségeket, amelyek segítenek az alkalmazásoknak együttmûködni.
Június 24 -én az ABCD első információs jelentést (FIR) nyújtott be a mumbai rendõrség számítógépes cellájához, kijelentve, hogy a digitális arany 1,95 crore -t eladták az ügyfelek hozzájárulása nélkül. A vállalat információbiztonsági csoportja 435 számláról digitális aranyat talált engedély nélkül, június 9 -én. A panasz azt is mondta, hogy egy ismeretlen személy feltörte az ABCD alkalmazás API végpontját.
A digitális arany lehetővé teszi az ügyfelek számára, hogy az aranyat birtokolják anélkül, hogy fizikailag tárolnák. Ezeket a boltozatban tárolt arany támogatja. A menta látta a FIR másolatát.
“Független kriminalisztikai ellenőrzést végeztünk, és az ajánlott intézkedéseket hajtották végre a platform robusztusságának javítása érdekében” – mondta az ABCD szóvivője egy e -mailes válaszban. “További megelőző intézkedéseket is végrehajtottunk, ideértve a megerősített titkosítást és az érvényesítési ellenőrzést a platform biztonságának megerősítése érdekében.”
Az API -k olyan kódrészletek, amelyek elősegítik az online szolgáltatások működését. Ezek lehetővé teszik a pénzügyi szolgáltatások számára, hogy hitelesítsék az ember személyazonosságát, elfogadják a kifizetéseket és egyebeket, digitális átjárókként működnek, amelyek összekapcsolják az alkalmazást az internet bármely szolgáltatásával.
“Ez a személy (hacker) megkerülte a normál tranzakciós áramlást, és illegálisan kezdeményezte a digitális aranyértékesítést a különféle ügyfélszámlákból hozzájárulásuk nélkül” – mondta a FIR. Azt mondta, hogy amikor az ügyfelek, akik az ABCD alkalmazáson keresztül akarnak vásárolni vagy eladni a digitális aranyat, regisztrálniuk kell a mobilszámát. A vásárlásokat közvetlenül meg lehet tenni, de az értékesítéshez OTP (egyszeri jelszó) ellenőrzés szükséges a regisztrált mobilszámra. A jogosulatlan tranzakciókból származó bevételeket – mondta a panasz – több bankszámlára helyezték át.
A kiberbiztonsági szakértők szerint az ilyen jogsértések világszerte gyakoriak, és aggodalmakat vetnek fel a több indiai vállalat felszínén.
Lalit Kalra, az EY Indiában a kiberbiztonság és az adatvédelem vezetője és vezetője elmondta, hogy az API végpontjai, amelyekkel Aditya Birla szembesült, a nem biztonságos vagy konfigurált, „mindenki számára egyre növekvő veszély”. “A személyes adatok kiszivárgásától a fiókok átvételéig az API -k a támadók aranybányává váltak” – mondta Kalra.
A legtöbb modern adatmegsértés nem a betörésről szól, hanem egy elfelejtett API -n keresztül történő sétálásról – mondta, és hozzátette, hogy a szokásos kérdések, mint például a nem biztonságos engedélyek és a válaszok érzékeny adatai, a szervezeteket ki kell hagyni.
Az alkalmazást az Aditya Birla Capital Digital Ltd, az Aditya Birla Capital Ltd teljes tulajdonában lévő leányvállalata alatt tartják, amelyet 2023 márciusában beépítettek. A vállalati vezetők kimutatásai szerint 100 crore -t kell felépíteni, és a hitelek, befektetések, biztosítások és kifizetések körüli termékekkel rendelkezik.
“A platformon lévő összes szolgáltatásunk élő és teljesen biztonságos. Az összes érintett ügyfelet proaktív módon nyújtottuk be, és a Digi Gold Holdings szisztematikusan visszaállítottuk a megfelelő számlájukra” – mondta a cég szóvivője.
Sidharth Mutreja, a Rockladder Technologies otthoni kiberbiztonsági cég társalapítója és technológiai igazgatója szerint az API sebezhetőségei az, amit a Cyber Criminals nyomon követnek a „hátsó ajtó” megtalálására.
“Egyre több olyan kezelt biztonsági megoldás létezik, amelyek segítenek nyomon követni az ilyen sebezhetőségeket. Még akkor is a gyenge titkosítás az egyik leggyakoribb tényező ezeknek a megsértéseknek a globálisan elterjedése” – tette hozzá Mutreja.
Az EY Kalra elmondta, hogy a növekvő szabályozásokkal, mint például az India Cert-In Bot szabálya és a digitális személyes adatvédelmi törvény, a vállalatok „növekvő költségekkel kell szembenézniük, ha műszaki átjárók, például az API végpontjaikat nem őrzik megfelelően”. “A költségek, különösen a kisebb vállalatok esetében, bántalmazhatnak” – tette hozzá.
A Cert-In egy hat órás jelentési ablakot köteleznek olyan hack-k számára, mint például az ABCD digitális aranysértése, ha elmulasztják, hogy a vállalatok mely társaságok büntető intézkedésekkel szembesülnek a kormánytól.
