inoticia

Noticias De Actualidad
Empresa de seguridad encuentra fallas en corredor de seguros en línea indio

NUEVA DELHI (AP) — El mes pasado, una empresa emergente de seguridad cibernética le dijo a una importante corredora de seguros en línea de la India que había encontrado vulnerabilidades críticas en la red de Internet de la compañía que podrían exponer datos personales y financieros confidenciales de al menos 11 millones de clientes a piratas informáticos malintencionados.

La puesta en marcha siguió el libro de jugadas estándar de hackers éticos, dando a Policybazaar, el agregador de seguros, tiempo para reparar las fallas e informar a las autoridades. No solicitó autorización por adelantado para probar el sistema de Policybazaar, pero dijo que se consideraba justificado, en parte porque tenía empleados que eran clientes.

Una semana después, el 24 de julio, Policybazaar, que cotiza en bolsa y cuenta con el conglomerado chino Tencent entre sus inversores, notificó a las bolsas de valores de la India que había sido violada ilegalmente. pero “no se expusieron datos significativos de los clientes”.

Dijo poco más.

La startup, CyberX9, no se queda callada. Su director gerente quiere que los indios sepan que las vulnerabilidades “múltiples extremadamente críticas” fueron tan fáciles de encontrar que fue casi como si Policybazaar se hubiera dejado intencionalmente abierto a la intrusión criminal o del estado-nación.

“Hubiera sido extremadamente fácil para cualquier persona con buenos conocimientos informáticos/TI descubrir, explotar y filtrar todos estos datos”, dijo el director de CyberX9, Himanshu Pathak.

Los datos incluyen no solo nombres, domicilios y direcciones de correo electrónico, fechas de nacimiento y números de teléfono, sino también lo que las personas deben mostrar para obtener un seguro: copias digitales de documentos de identificación, de salud y financieros, incluidas declaraciones de impuestos, nóminas, extractos bancarios, licencias de conducir y documentos de nacimiento. certificados, dijo CyberX9.

Un corredor para múltiples operadores y tipos de pólizas que reclama el 90% del mercado de agregadores de seguros en línea de la India, Policybazaar acumula datos a través de cargas de usuarios y registros autogenerados. Incluía cuestionarios que completaron los miembros de las fuerzas armadas indias (la compañía ofrece varias pólizas de seguro adaptadas a ellos) enumerando sus rangos, rama de servicio y si trabajan en zonas de peligro y manejan armas y explosivos.

The Associated Press contactó a tres personas que figuran en los datos de muestra, incluidas copias de documentos personales confidenciales proporcionados por CyberX9, uno de ellos un soldado estacionado en Ladakh, una región en disputa con Pakistán y China. Los tres confirmaron que eran clientes de Policybazaar. Todos dijeron que no habían sido informados de ningún incidente de seguridad.

Según documentos en el sitio web de la empresa matriz de PolicybazaarPB Fintech Ltd., 56 millones de personas estaban registradas en el sitio a fines de diciembre, incluidos 11 millones de “clientes que realizan transacciones” que compraron 25 millones de pólizas de seguro.

Policybazaar no respondió a las preguntas de la AP, salvo para decir que solucionó las vulnerabilidades identificadas y remitió el incidente a asesores externos para una auditoría forense.

No confirmó que CyberX9 lo había alertado sobre las vulnerabilidades, describió cómo su sistema de TI estaba “sujeto a acceso ilegal y autorizado” o explicó qué datos de clientes estaban expuestos. Policybazaar dijo que las fallas se identificaron el 19 de julio, el día después de que CyberX9 dice que alertó por primera vez a la correduría..

Pathak proporcionó a la AP copias de sus intercambios de correos electrónicos con el Equipo de Respuesta a Emergencias Informáticas (CERT-IN) de India, que dijo el 25 de julio que Policybazaar informó que las vulnerabilidades habían sido reparadas, y con un funcionario nacional de seguridad cibernética, el teniente general Rajesh Pant. , quien le dijo a Pathak en un correo electrónico del 26 de julio: “Gracias por informar. Iniciará acciones contra Policy Bazaar”.

Ni CERT-IN ni Pant respondieron a los correos electrónicos de AP en busca de comentarios.

CyberX9 dijo que decidió investigar la red de Policybazaar en busca de fallas después de enterarse durante su oferta pública inicial de noviembre de cuántos datos sensibles y confidenciales administraba la empresa.

Dijo que encontró cinco vulnerabilidades y pudo recuperar los datos del usuario sin verificación de autorización, y no había restricciones sobre cuántas veces un usuario no autorizado podía hacer tal recuperación.

Los investigadores probaron las vulnerabilidades “automatizándolas completamente usando scripts muy simples, todo esto sin enfrentar ninguna restricción viable por parte de sus sistemas”, dijo CyberX9 a Policybazaar en el informe técnico que envió a la compañía el mes pasado.

“Teniendo en cuenta la simplicidad y la facilidad de descubrimiento y explotación de estas vulnerabilidades, Policybazaar claramente ha dejado las puertas abiertas a los actores de amenazas para invadir la vida de sus usuarios”.

No estaba claro si CyberX9 enfrentará alguna repercusión legal por investigar el sistema de Policybazaar.

El incidente destaca el entorno de seguridad cibernética “complicado y desordenado” de la India, donde los funcionarios del gobierno a menudo no hacen un seguimiento para garantizar redes mejor protegidas, dijo Raman Jit Singh Chima, director de políticas de Asia. para el grupo sin fines de lucro de derechos en línea AccessNow.

Dijo que creía que Policybazaar hizo la divulgación de la vulnerabilidad porque los reguladores de seguros y valores así lo exigen.

En India, como en otros lugares, los investigadores de seguridad de buena fe que intentan prevenir ataques maliciosos y ataques de ransomware deben actuar con cuidado, ya que están limitados por vagas leyes sobre delitos informáticos. Las leyes de India no distinguen entre malicia y ética cuando se trata de identificar y explotar las debilidades en el código de software.

“Hay ambigüedad en la ley: dice que no se puede probar sin permiso y solo después de eso se puede investigar”, dijo Apar Gupta, director ejecutivo de la fundación sin fines de lucro Internet Freedom Foundation.

CERT-IN emitió una política de divulgación responsable en septiembre que ofrece pautas de buena fe para los piratas informáticos, dijo, pero incluye un descargo de responsabilidad que asiente a la ambigüedad. La ley de EE. UU. también es ambigua, aunque el Departamento de Justicia de EE. UU. anunció una nueva política en mayo que ordena que “no se debe acusar a la investigación de seguridad de buena fe”.

Eso significa que el sistema favorece a los descarados y audaces, que más vale que también tengan buenos abogados.

Los expertos en seguridad dijeron que parece que los investigadores de CyberX9, como clientes de Policybazaar, tenían buenas razones para investigar el edificio digital de la empresa en busca de fallas fáciles de explotar, siempre y cuando lo hicieran de manera responsable.

En su informe a Policybazaar, CyberX9 dijo que le complacería recibir la llamada recompensa de “recompensa de errores”, que algunas empresas suelen pagar a los investigadores por la identificación de fallas de buena fe, “aunque no es necesario”.

Pathak dijo que no se pagó tal recompensa.

India, con 800 millones de usuarios de Internet, tampoco tiene una ley de protección de datos a pesar de que el tribunal supremo del país en 2017 sostuvo la privacidad como un derecho fundamental y ordenó al gobierno que redactara una legislación. En el Parlamento, el proyecto de ley se retrasó por las críticas sobre algunas disposiciones, incluida una que le dio al gobierno acceso a datos personales en nombre de la “soberanía”.

La semana pasada, el Parlamento retiró la legislación y dijo que comenzaría el proceso de nuevo.

Los expertos digitales dicen que es necesaria una ley de protección de datos en India, donde el fraude financiero y las filtraciones de datos son rampantes. Su ausencia ha exacerbado las preocupaciones sobre la privacidad en el país, donde en incidentes anteriores, tanto empresas privadas como el gobierno filtraron datos de personas.

___

Bajak informó desde Boston.