标签: 印度

印度央行催促借贷应用程序为消费者提供更大的透明度和控制权

印度储备银行公布了它打算对数字贷款公司实施的指导方针,建议给客户更多的透明度和控制权,因为这个南亚国家的中央银行正在采取进一步措施,打击粗制滥造的做法和债权人。 周三发布的指导方针规定了谁可以向印度的借款人贷款,他们可以从借款人那里收集哪些数据,并授权扩大披露要求,此举可能会使世界第二大互联网市场的许多金融科技初创企业感到不安。 贷款人将不被允许在未获得客户同意的情况下增加客户的信用额度,并被要求以明确的条款披露年度贷款利率。数字贷款应用程序也将被要求在收集任何数据之前事先征得客户的明确同意。 根据指导方针,在任何情况下,数字贷款公司应停止访问手机资源,如文件和媒体、联系人名单、通话记录、电话功能等。只有在借款人明确同意的情况下,才可以对摄像头、麦克风、位置或任何其他必要的设施进行一次性访问。 近年来,在印度出现了许多草率的借贷应用程序和非银行金融机构向客户收取高额费用的情况下,这些指导方针在去年首次提出,其中一些已获得原则性批准。简略做法的盛行促使Google去年从印度的Play Store中撤出了一些个人贷款应用程序,并实施了更有力的措施来防止滥用。 转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1302983.htm 封面来源于网络,如有侵权请联系删除

印度政府宣布撤回本国数据保护法案

在经历了来自科技行业和隐私倡导者长期的抗议和批评之后,8月3日,印度电子和信息技术国务部长Rajeev Chandrasekhar宣布,于2019年颁布的《数据保护法案》已正式撤回。 Chandrasekhar表示,这部法案的一些规定超出了数据保护范围,一些复杂性措施也增加了中小企业的合规负担,比如对跨境数据流动进行严格监管、强制要求共享部分“非个人”数据等。 据悉,印度是受数据泄露影响最严重的国家之一,而且该国的网络犯罪也有显著增加。为了扭转这一局面,莫迪政府一直在寻求强有力的法案支撑。但此次撤回的《数据保护法案》在实施时,就造成莫迪政府与大型科技公司之间的关系变得紧张,科技公司反对法案中的一些条款,包括将施加甚至严格的数据本地化要求、对跨境数据流动进行严格限制等。 隐私倡导者也批评该提案赋予了政府机构向公司索取用户数据的权力,Access Now的亚太区政策顾问Namrata Maheshwari表示,印度未能通过一个联邦隐私和数据保护框架,体现了政府本末倒置的做法——授权增加收集和利用个人数据,而不首先确保人们的信息将是安全和可靠的。 此次法案的撤回被不少人认为是科技公司的胜利,安库拉咨询集团的高级董事总经理Amit Jaju表示,这是一个值得欢迎的消息,因为现有的草案变得不切实际,不符合全球基准。但同时,2022年的印度公司已经成为大规模数据泄露的受害者,在没有数据保护法的情况下,个人数据将几乎得不到任何保护。 至于接下来的措施,莫迪政府表示接下来会推出一个包括隐私在内的科技监管 “综合框架”,有望在2023年初获得批准。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/341137.html 封面来源于网络,如有侵权请联系删除

2.88 亿条印度养老基金持有人的身份数据被暴露在互联网

一个包含印度养老基金持有人全名、银行账户号码等信息的巨大数据缓存已在网上浮出水面。安全研究员Bob Diachenko发现两个独立的IP地址存储了超过2.88亿条记录–其中一个IP地址下有约2.8亿条记录,约840万条是第二个IP地址的一部分。该研究人员说,这两个IP地址都公开向互联网暴露数据,但没有密码保护。 这些记录是名为”UAN”的集群指数的一部分,这显然是指该国国有雇员公积金组织(EPFO)分配给养老基金持有人的通用账户号码。 Diachenko表示:”据我所知,数据库中的信息可能被用来拼凑出一个印度公民的完整档案,使他们成为网络钓鱼或诈骗攻击的目标。” 每条记录都包括详细的个人信息,包括他们的婚姻状况、性别和出生日期。还有一些细节主要与他们的养老基金账户有关,包括UAN、银行账户号码和就业状况。 除了泄露持有养老基金账户的个人身份信息(PII)外,这些记录还暴露了其办理人的详细信息。这些信息包括他们的全名和与账户持有人的关系。 Diachenko本周早些时候发现了泄露敏感数据的IP地址。他在Twitter上发布了一张截图,显示了周三暴露个人信息的数据字段,同时提醒了印度计算机应急响应小组(CERT-In)。在发布他的推文后不到一天,这两个有问题的IP地址已经无法访问。 但Diachenko说,目前还不清楚谁应该对网上出现的曝光数据负责。目前也不清楚除了他之外,是否还有其他人也发现了这些曝光的数据。 印度养老金的IT系统出现安全问题已经不是第一次,2018年,印度中央公积金专员通知技术支持部门,黑客能够从EPFO网站的Aadhaar播种门户窃取数据。这一事件使约2700万养老基金成员的信息处于危险之中。然而,该养老基金机构后来在记录上声称,其方面没有数据泄漏,但没有提供证据。 转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1300399.htm 封面来源于网络,如有侵权请联系删除

印度地方洪水监测系统遭勒索软件攻击,水文数据全部被加密

安全内参消息,印度果阿邦的洪水监测系统遭到勒索软件攻击,攻击者要求支付加密货币,以解密洪水监测站的数据。 在向果阿警方网络小组的投诉中,一直在维护数据的州政府水资源部表示,所有文件已被加密,无法再被访问。 “服务器已经受到勒索软件的网络攻击。所有文件都被加密了,扩展名为eking,无法访问。在一个弹出窗口界面和提示文件中,攻击者要求支付比特币加密货币来解密数据。这次攻击发生在2022年6月21日午夜12点至凌晨2点之间。数据的完整性已被改变,使其无法备份以前的数据。执行工程师Sunil Karmarkar提交的投诉显示:”该服务器在24×7的互联网线路上工作,由于没有杀毒软件和防火墙已过时,攻击者轻易得手了。 该投诉是在6月24日提交的,在今天被曝光。 位于帕纳吉的数据中心服务器存储了果阿州主要河流15个地点的洪水监测系统的数据,以监测河流的水位。该系统作为灾害管理的一部分,以便控制洪水的情况。 洪水监测系统、自动雨量计和气象仪的数据存储在该州首府的水资源部总部服务器中,而这些服务器是由海德拉巴的ASTRA Microwave Products有限公司维护。 由于黑客攻击,该部门现在无法访问与不同站点的电池电压有关的数据,以及与12个站点有关的数据包,并丢失了所有的旧数据,这些数据现在无法再在本地进行备份,而且由于整个州正在进行旺盛的季风活动,也丢失了目前处于水位的河流的实时数据。 转自 安全内参,原文链接:https://www.secrss.com/articles/44630 封面来源于网络,如有侵权请联系删除

印度推迟要求 VPN 供应商存储客户数据的争议性规定

早在5月,印度宣布了一套新的严格规定,其要求VPN和云服务供应商记录其客户的数据并跟政府分享。虽然修改后的规定本应于6月27日生效,但现在已经推迟了三个月。   这些有争议的规定强制要求VPN供应商收集以下信息: 姓名、电子邮件地址和电话号码 客户使用VPN服务的目的 分配给客户的IP地址和客户用来注册服务的IP地址 客户的“所有权模式” 包括日期在内的租用期限 该条例影响到数据中心、VPN、虚拟私人服务器(VPS)和云服务供应商,那些拒绝遵守的人可能面临一年以下的监禁。印度计算机应急小组(CERT)的这一指令面临来自消费者和受影响供应商的许多批评。事实上,ExpressVPN拒绝遵守规则,其已经将其服务器从该国撤出。 据了解,该规定推迟三个月的原因是为了使受影响的公司能够适应新的指导方针,甚至考虑完全放弃在该国的业务的选择。 在给CERT的一封联名信中,当地网络安全专家对新法规的危险性发出警告: 目前的指示将产生削弱网络安全及其关键组成部分–在线隐私的意外后果。我们认识到需要一个框架来管理网络事件的报告,但《Directions》中规定的报告时限和过度的数据保留任务,将在实践中产生负面影响并阻碍有效性,与此同时还会危及在线隐私和安全。 印度政府方面拒绝在其立场上做出让步,立法者表示他们不会屈服于外部压力也不会就此事进行公开咨询。在推迟之后,新规则将从2022年9月25日开始生效。   转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1286157.htm 封面来源于网络,如有侵权请联系删除  

印度在 Covid-19 期间网络攻击激增

COVID-19不仅会对健康、社会和经济造成危害,而且会引发网络安全危机。这一流行病给企业在远程协作和业务连续性领域带来了新的挑战。 随着远程工作越来越多,员工们使用了大量的互联网工具。由于企业和人们开始越来越依赖技术,并忙于与流行病作斗争,攻击者现在比以往任何时候都有更多的选择来攻击他们。 根据PWC的4月报告,印度公司面临的安全威胁在2020年3月翻了一番,更令人担忧的是,从2020年1月17日到20日,安全威胁的数量增加了100%。 印度联邦电子与信息技术国务部长Sanjay Dhotre表示,印度第二季度发生的网络攻击超过35万次,是2020年第一季度记录事件数量的三倍。他还强调,截止到2020年8月,一共发生70万起网络安全事件。 数字网络安全危机 ACRONIS Cyber Readiness 2020年报告显示,全球31%的公司每天至少面临一次网络安全事件。然而,印度每天报告的网络攻击次数是以前的两倍,其中大多数网络攻击包括网络钓鱼、DDoS、视频会议、利用弱服务和恶意软件。 网络钓鱼活动是最令人担忧的攻击,因为它们在这场流行病期间达到了顶峰。尽管恶意软件的数量较少,但在印度,它仍然是一个更为严重的问题——报告的恶意软件问题几乎是全球平均水平的2倍。 此外,在接受调查的组织中,有39%经历了视频会议攻击。其中,印度、加拿大、瑞士和英国是受影响最大的国家。 以冠状病毒为主题的网络钓鱼电子邮件和声称有关COVID-19的有用信息的恶意网站已成为了最大威胁。此外,根据Seqrite的报告,从2020年4月至6月,共发现40万起新的勒索软件攻击。 这些网络攻击大多是通过利用易受攻击的服务获得对远程系统的访问进行的。 为什么印度容易遭受网络攻击? NITI Aayog报告指出,原因是越来越多地使用互联网和移动技术。印度在全球互联网用户数量排名第三,仅次于美国和中国。随着互联网和手机用户的指数级增长,印度和全球的网络攻击事件数量显著上升。 内部安全威胁被忽略。企业更注重通过无缝操作保证业务连续性,而不是弥合远程基础架构中的缺口。如果敏感数据在不同部门之间流动,而没有适当的监视和记录过程,那么在发生任何攻击时识别漏洞就变得很困难。 外部威胁增加。随着不断增加的外部威胁,只有少数印度公司采取了网络应用防火墙等安全措施来监控外部威胁,并在网络攻击事件发生时及时阻止。 远程工作期间暴露出弱点。远程工作期间暴露的主要弱点包括身份验证技术薄弱、监控不足和暴露的服务器(DNS、VPN、RDP等)。 此外,许多员工通常忽视个人网络安全。在这种“work from anywhere culture”的文化下,员工开始在自己的官方机器上访问自己的个人电子邮件和社交媒体网站。总的来说,随着个人和工作生活的在线融合,网络攻击很容易通过不安全的个人帐户发生。 缺少云技术方面的专业知识也是问题所在。为了确保从任何设备和任何地方访问数据的方便性,许多公司都采用了云技术。然而,他们没有足够的内部资源来管理和保护APIs, SaaS或containers。越来越多的低配置云架构将不可避免地为攻击者打开大门。 保护措施 以下是一些安全提示: 1.对员工进行安全原则培训。 2.对于通过电子邮件收到的附件、链接或文本,尤其是与COVID-19相关的主题行,要谨慎 构建的远程工作策略。 3.仅使用可信来源,如从合法网站获取最新信息。 4.不要在陌生人的电子邮件或电话中透露你的财务或个人信息。 5.鼓励只为公务目的使用办公设备。 6.不要在不同的帐户和应用程序之间重复使用密码。 7.进行数据备份并单独存储。 8.使用多因素身份验证。 9.使用基于云的WAF(如AppTrana)使堆栈现代化,AppTrana是下一代网络安全保护套件,包括漏洞评估、虚拟补丁、零误报、DDoS攻击防范和其他功能。 在网络安全领域,下一代威胁监测工具和预测分析超越了基于规则的系统,可以检测网络风险,从而以安全、快速的方式标记潜在威胁。有了足够的全国性的网络安全意识和强有力的政策,企业才能够在未来有效地应对网络威胁。     稿件与封面来源:The Hacker News,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理, 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

印总理莫迪个人网站 Twitter 账号确认遭入侵:要求捐赠加密货币

北京时间9月3日消息,印度总理莫迪个人网站的Twitter账号在周四稍早时候遭到入侵。莫迪个人网站账号narendramodi_in发布了一系列推文,要求其粉丝通过加密货币的形式向一个救济基金进行捐赠。这些推文随后被撤下。 Twitter证实,narendramodi_in账号遭到入侵,该公司表示已知道该账号的活动,并采取措施来保障被入侵账号的安全。“我们正在积极调查这一情况。目前,我们并未发现其他账号受影响的情况。”Twitter发言人在一份邮件声明中称。 莫迪办公室尚未就narendramodi_in账号发布的推文置评。     (稿源:凤凰网科技,封面源自网络。)

印度拟设监管机构 限制谷歌脸书等巨头的数据主导地位

网易科技讯 7月13日消息,据外媒报道,印度政府任命的一个专家委员会建议,印度需要设立新的数据监管机构来监督在线收集信息的共享、货币化和隐私等问题,以此限制谷歌、Facebook、亚马逊以及Uber等美国科技巨头的在线数据主导地位。 这个由8名专家组成的委员会提交报告称,市场力量本身不会从数据中为社会带来最大的效益,而新的监管机构必须解决由此产生的关键问题。报告建议,这个机构必须确保所有利益相关者遵守规则,在提出合法请求时提供数据,评估重新识别匿名个人数据的风险,并帮助为企业创造公平的竞争环境。 这份文件称Facebook、亚马逊、Uber以及谷歌等美国科技巨头具有先发优势,是网络效应的受益者,导致许多新进入者和初创企业受到挤压,面临巨大的进入壁垒。监管机构在促进数据共享方面的设想角色将是减轻这些影响,并刺激创新、经济增长和社会福祉。 随着世界各国加强国内数据保护,印度正在起草和加强管理其蓬勃发展的数字经济的政策。印度已经颁布了管理个人数据使用的法案,最新报告还建议通过立法增加对非个人数据的监管。非个人数据是指不包括姓名、年龄或地址等可用于识别个人身份的信息,它还包括那些最初是私人的、但后来被聚合成为匿名数据的信息。 报告中提议的规则将管理数据的收集、分析、分享以及销毁。报告称,此举的目的是为现有企业提供洞察力,并鼓励创建新业务,从而发掘数据的“巨大”社会和公共价值。 委员会建议为那些收集、处理、存储或以其他方式管理数据的公司创建新的“数据业务”分类。这些公司包括健康、电商、互联网和技术服务公司,委员会在起草报告之前曾咨询过它们。数据业务被设想为涵盖各个行业部门。   (稿源:cnBeta,封面源自网络。)

印度 IT 公司 7 年入侵 1 万多电邮账户 多国政要被殃及

北京时间6月10日早间消息,据路透社报道,一家鲜为人知的印度IT公司为客户提供黑客服务,在7年时间里对全球超过1万个电子邮件账户进行入侵。根据该公司的三名前员工披露的信息以及外部研究人员的报告和网上的种种证据,总部位于新德里的BellTroX信息技术服务公司专门瞄准欧洲的政府官员、巴哈马的博彩大亨和以及包括美国私募股权巨头KKR和做空机构浑水在内的著名投资机构。 5名知情人士表示,BellTroX针对美国目标发动的黑客行动正在面临美国执法部门的调查。但美国司法部拒绝置评。 目前还不清楚BellTroX客户的身份。但该公司的所有者苏米特·古普塔(Sumit Gupta)拒绝在电话采访中透露客户身份,并否认存在任何不当行为。  浑水创始人卡尔森·布洛克(Carson Block)说,“得知我们可能成为BellTroX客户的入侵目标时,我感到失望,但并不惊讶。”KKR拒绝置评。 互联网监督组织Citizen Lab的研究人员花费了两年多时间摸清了黑客使用的基础设施。这些研究人员周二发布报告称,他们“充分相信”BellTroX的员工充当了间谍活动的幕后黑手。 “这是有史以来受雇开展的规模最大的间谍活动之一。”Citizen Lab研究员约翰·斯科特-莱尔顿(John Scott-Railton)说。 他表示,尽管与获得国家支持的间谍组织或者引人关注的网络盗窃案相比,“网络雇佣军”并未得到太大关注,但这些服务却得以广泛使用。“我们的调查发现,没有任何领域可以幸免。” 路透社通过查看数据缓存深入研究了这项活动,结果显示,BellTroX在2013至2020年间发送了成千上万条旨在诱骗受害者透露密码的消息。该数据是由黑客使用的网络服务提供商匿名提供给路透社的,在此之前,路透社曾经警告这些公司,他们平台上的活动存在异常。 该数据相当于一份“黑名单”,列出了攻击目标和攻击时间。路透社通过与受攻击的目标收取的电子邮件进行对比,验证了这些数据的真实性。 名单包含南非的法官、墨西哥的政治人物、法国的律师和美国的环保组织。这几十个人只是BellTroX数以千计攻击目标中的一小部分,他们均未作出回应或拒绝发表评论。 目前还无法确定究竟有多少次黑客入侵活动取得成功。 BellTroX的古普塔在2015年的一次黑客案中遭到起诉,该案中有两名美国私家侦探承认向他支付费用,以入侵营销高管的帐号。古普塔在2017年被宣布为逃犯,但美国司法部拒绝评论此案当前的状况,也拒绝透露是否已提出引渡请求。 古普塔在他位于新德里的家中通过电话否认了黑客入侵行为,他还表示执法部门从未与他联系。他说,他在私家侦探向其提供登录详细信息后,才帮助他们从电子邮件收件箱中下载了消息。 “我没有帮助他们获取任何东西,我只是帮助他们下载邮件,他们向我提供了所有详细信息。”他说,“我不知道他们如何获得这些详细信息,我只是为他们提供了技术支持。” 路透社无法确定私家侦探为什么会要求古普塔帮助他们下载电子邮件。古普塔没有回复后续消息,而当路透社记者周一前往他的办公室拜访时,也一再遭到拒绝。德里警方和印度外交部发言人没有发表评论。 伪装邮件 根据路透社查看的数据,BellTroX在德里西部某零售综合体的一家已经关闭的茶摊上方的小房间内开展活动,他们用数以万计的恶意电子邮件对目标展开“轰炸”。有些信息会伪装成攻击目标的同事或亲人,还有的邮件则伪装成Facebook登录请求或色情网站退订邮件。 法哈米·奎德(Fahmi Quadir)在纽约的做空机构Safkhet Capital是BellTroX于2017年至2019年间瞄准的17家投资机构中的一家。她说,在她发起基金后不久,就注意到2018年初的电子邮件数量激增。 最初“似乎不是恶意邮件,”奎德说,“只是占星术之类的内容。然后变成色情内容。” 最终,黑客们又加大了攻击力度,向她发送了看似可信的信息,伪装成她的同事、家人或其他做空机构。奎德说:“他们甚至想假冒我的姐妹。”但她认为攻击并没有成功。 美国游说组织也屡次成为目标。其中包括数字版权组织Free Press和Fight for the Future,这两个组织都为网络中立原则展开游说。这些组织表示,少数员工帐户遭到入侵,但更广泛的网络并未受到影响。电子前沿基金会曾在2017年的报告中详细阐述了这些组织遭到的攻击,但并没有公开将此与BellTroX联系起来。 Free Press主任蒂莫西·卡尔(Timothy Karr)说,“每当我们参与激烈且备受瞩目的公共政策辩论时,攻击行为就会增加。”Fight for the Future副主任埃文·格里尔(Evan Greer)说:“如果企业和政客可以雇用数字雇佣兵来瞄准公民社会组织,就会破坏我们的民主进程。” 尽管路透社无法确定是谁雇用了BellTroX来进行黑客攻击,但该公司的两名前雇员表示,他们及其他类似公司通常会与私家侦探签约,而这些私家侦探的幕后老板其实是受攻击者的商业或政治竞争对手。 圣迭戈私家侦探公司Bulldog Investigation的巴特·桑托斯(Bart Santos)表示,他们就曾经收到了来自印度的黑客服务广告,其中有一个人自称是BellTroX的前雇员。这些广告号称可以提供“数据渗透”和“电子邮件渗透”服务。事实上,有十余家欧美私家侦探都表示曾经收到过类似的广告。 桑托斯说,他并没有理睬这些广告,但他可以理解为什么有些人会花钱雇佣这些公司。“印度人在客户服务方面声誉很好。”他说。     (稿源:新浪科技,封面源自网络。)

印度开源接触者跟踪应用 Aarogya Setu

印度政府在 Apache v2 许可证下开源了它的接触者跟踪应用 Aarogya Setu,源代码托管在 GitHub 上。印度政府是在四月初发布了 Aarogya Setu,不到两个月时间其安装量超过了 1.14 亿。印度政府首先公开的是 Android 版本的源代码,iOS 和 KaiOS(基于 Firefox OS)版本的源代码将在未来几周内释出。 印度电子和信息技术部部长 Ajay Prakash Sawhney 表示公开源代码允许其他人检查和寻找漏洞,政府将提供最高 1,325 美元的奖励给发现和报告漏洞的人。其它国家也在 GitHub 上释出了官方接触者跟踪应用的源代码,如澳大利亚。     (稿源:solidot,封面源自网络。)