CVL est une filiale en propriété exclusive du plus grand dépositaire de titres en Inde, Central Depository Services Limited. (Fichier express)
Une équipe de chercheurs en cybersécurité a signalé mercredi dernier un problème de sécurité critique dans l'agence d'enregistrement KYC enregistrée par Sebi, CDSL Ventures Limited (CVL), qui, selon elle, pourrait être exploitée pour un accès non autorisé à des données personnelles et sensibles sensibles. données financières des investisseurs.
CVL est une filiale en propriété exclusive du plus grand dépositaire de titres en Inde, Central Depository Services Limited. Il facilite le stockage et la sauvegarde centralisés des informations des investisseurs, fournit des services KYC entièrement numérisés aux intermédiaires du marché et détient les informations de plus de 4 millions d'investisseurs.
La vulnérabilité a été corrigée mardi – une semaine après avoir été signalée au CDSL, au Centre national de protection des infrastructures d'information critiques (NCIIPC) de l'Organisation nationale de recherche technique et au CERT-In du ministère de l'Électronique et des Technologies de l'information (MEITY).
https://images.indianexpress.com/2020/08/1×1.png“Nos chercheurs ont détecté une vulnérabilité d'autorisation dans l'une des API (interface de programme d'application) qui permettait à toute personne capable de lancer une attaque malveillante de récupérer des informations personnelles et financières extrêmement sensibles d'environ 4,39 millions d'investisseurs qui ont obtenu des titres du marché KYC depuis 2005”, a déclaré Himanshu Pathak, fondateur de la startup de conseil en cybersécurité CyberX9 basée à Chandigarh.
Lorsqu'il a été contacté, un porte-parole de CDSL a déclaré dans un e-mail mardi : « CDSL souhaite préciser qu'il n'y a eu aucun problème de sécurité ou violation de données chez CDSL. Cependant, CVL a reçu une alerte de vulnérabilité sur le site Web de CVL qui a depuis été atténuée. Il n'y a eu aucune violation de données chez CVL. Les e-mails demandant des commentaires à SEBI, NCIIPC et CERT-In sont restés sans réponse.
Le KYC des investisseurs pour les titres du marché implique des points de données personnelles et financières étendus – nom, adresses, sexe,
état civil, PAN, e-mail , revenu annuel, valeur nette, numéro de compte Demat, détails du courtier, identifiant client, etc., tous accessibles au moins jusqu'au 25 octobre en raison de la vulnérabilité de l'autorisation.
L'accès aux données KYC peut potentiellement permettre à des acteurs malveillants de lancer des attaques personnalisées visant la fraude financière, l'usurpation d'identité, l'extorsion, l'usurpation d'identité, etc. À un autre niveau, cet ensemble de données peut également être utilisé pour perturber le marché boursier via des campagnes de désinformation ciblées.
Signalant la vulnérabilité le 19 octobre au NCIIPC de NTRO et au CERT-In de MEITY, l'agence nodale nationale pour répondre aux incidents de sécurité informatique, CyberX9 a écrit : le plus tôt.” Le 20 octobre, selon les archives, CERT-In a demandé des « captures d'écran pertinentes » et a ensuite enregistré la plainte pour « action appropriée ».
- Le site Web d'Indian Express a été classé GREEN pour sa crédibilité et sa fiabilité par Newsguard, un service mondial qui évalue les sources d'information en fonction de leurs normes journalistiques.
© The Indian Express (P ) Ltd