CVL ist eine hundertprozentige Tochtergesellschaft von Indiens größtem Wertpapierverwahrer Central Depository Services Limited. (Express File)
Ein Team von Cybersicherheitsforschern hat letzten Mittwoch ein kritisches Sicherheitsproblem bei der in Sebi registrierten KYC-Registrierungsagentur CDSL Ventures Limited (CVL) aufgedeckt, von dem es behauptete, dass es für den unbefugten Zugriff auf sensible Personen ausgenutzt werden könnte und Finanzdaten der Anleger.
CVL ist eine hundertprozentige Tochtergesellschaft von Indiens größtem Wertpapierverwahrer Central Depository Services Limited. Es erleichtert die zentralisierte Speicherung und den Schutz von Anlegerinformationen, bietet vollständig digitalisierte KYC-Dienste für Marktvermittler und hält Informationen von über 4 Millionen Anlegern.
Die Schwachstelle wurde am Dienstag behoben – eine Woche nachdem sie CDSL, dem National Critical Information Infrastructure Protection Center (NCIIPC) der National Technical Research Organisation und dem CERT-In des Ministeriums für Elektronik und Informationstechnologie (MEITY) gemeldet wurde.
https://images.indianexpress.com/2020/08/1×1.png„Unsere Forscher haben eine Autorisierungsschwachstelle in einer der APIs (Anwendungsprogrammschnittstelle) entdeckt, die es jedem, der einen böswilligen Angriff starten kann, ermöglichte, äußerst sensible persönliche und finanzielle Informationen von rund 4,39 Mrd Himanshu Pathak, Gründer des Cyber-Sicherheitsberatungs-Startups CyberX9 aus Chandigarh.
Bei Kontaktaufnahme sagte ein CDSL-Sprecher am Dienstag in einer E-Mail: „CDSL möchte klarstellen, dass es bei CDSL keine Sicherheitsprobleme oder Datenschutzverletzungen gegeben hat. CVL hat jedoch auf der Website von CVL eine Schwachstellenwarnung erhalten, die inzwischen behoben wurde. Bei CVL gab es keine Datenschutzverletzung.“ E-Mails mit Kommentaren an SEBI, NCIIPC und CERT-In blieben unbeantwortet.
Investor KYC für Marktwertpapiere umfasst erweiterte persönliche und finanzielle Datenpunkte – Name, Adressen, Geschlecht,
Familienstand, PAN, E-Mail , Jahreseinkommen, Nettovermögen, Demat-Kontonummer, Brokerdetails, Kundennummer usw., die alle aufgrund der Autorisierungslücke mindestens bis zum 25. Oktober zugänglich waren.
Der Zugriff auf KYC-Daten kann es böswilligen Akteuren möglicherweise ermöglichen, maßgeschneiderte Angriffe zu starten, die auf Finanzbetrug, Identitätsdiebstahl, Erpressung, Identitätsdiebstahl usw. abzielen. Auf einer anderen Ebene kann dieser Datensatz auch verwendet werden, um den Aktienmarkt durch gezielte Fehlinformationskampagnen zu stören.
CyberX9 meldete die Schwachstelle am 19. Oktober gegenüber NTROs NCIIPC und MEITYs CERT-In, der nationalen Knotenpunkt-Agentur für die Reaktion auf Computersicherheitsvorfälle, und schrieb: der Frühste.” Wie Aufzeichnungen zeigen, forderte CERT-In am 20. Oktober „relevante Screenshots“ an und registrierte anschließend die Beschwerde wegen „angemessener Maßnahmen“.
- Die Indian Express-Website wurde wurde von Newsguard, einem globalen Dienst, der Nachrichtenquellen nach ihren journalistischen Standards bewertet, für seine Glaubwürdigkeit und Vertrauenswürdigkeit als GRÜN bewertet.
© The Indian Express (P ) GmbH