Aditya Birla Capital Digital (ABCD) ha restaurado el oro del cliente perdido para los piratas informáticos y realizó una auditoría forense del asunto, incluso cuando la incumplimiento destaca las vulnerabilidades en torno a los protocolos de interfaz de aplicación (API) que ayuda a las aplicaciones a trabajar entre sí.
El 24 de junio, ABCD presentó un primer informe de información (FIR) ante la célula cibernética de la policía de Mumbai, indicando que el oro digital de ₹ 1.95 millones de rupias se vendió sin el consentimiento del cliente. El equipo de seguridad de la información de la compañía encontró oro digital de 435 cuentas se vendió sin autorización el 9 de junio. La queja también dijo que una persona desconocida había pirateado el punto final API de la aplicación ABCD.
Digital Gold permite a los clientes poseer oro sin tener que almacenarlo físicamente. Estos están respaldados por oro almacenado en bóvedas. Mint ha visto una copia del FIR.
“Hemos realizado una auditoría forense independiente, y se han implementado acciones recomendadas para mejorar la solidez de la plataforma”, dijo un portavoz de ABCD en una respuesta enviada por correo electrónico. “También hemos aplicado medidas preventivas adicionales, incluidas las verificaciones de cifrado y validación fortalecidas para reforzar la seguridad de la plataforma”.
Las API son fragmentos de código que ayudan a los servicios en línea a trabajar entre sí. Estos permiten que los servicios financieros autenticen la identidad de una persona, acepten pagos y más, actuando como puertas de enlace digital que interconectan cualquier aplicación con cualquier servicio en Internet.
“Esta persona (hacker) pasó por alto el flujo normal de transacciones e inició ilegalmente las ventas de oro digital de varias cuentas de los clientes sin su consentimiento”, dijo el FIR. Dijo que cuando los clientes que desean comprar o vender oro digital a través de la aplicación ABCD deben registrar su número de teléfono móvil. Las compras se pueden realizar directamente, pero las ventas requieren la verificación OTP (contraseña única) enviada al número de teléfono móvil registrado. Los ingresos de estas transacciones no autorizadas, según la queja, se transfirieron a varias cuentas bancarias.
Los expertos en seguridad cibernética dijeron que tales infracciones son comunes a nivel mundial, lo que plantea preocupaciones sobre ellas surgiendo en más empresas indias.
Lalit Kalra, socio y líder, seguridad cibernética y privacidad de datos en EY India, dijo que los puntos finales de la API no garantizados o mal configurados, que Aditya Birla enfrentó, es “una amenaza creciente para todos”. “Desde la fuga de datos personales hasta habilitar la adquisición de cuentas, las API se han convertido en una mina de oro para los atacantes”, dijo Kalra.
La mayoría de las infracciones de datos modernas no se tratan de irrumpir: se tratan de entrar a través de una API olvidada, dijo, y agregó que problemas comunes como la autorización insegura y los datos confidenciales en las respuestas pueden dejar a las organizaciones expuestas.
La aplicación está ubicada bajo Aditya Birla Capital Digital Ltd, una subsidiaria de propiedad absoluta de Aditya Birla Capital Ltd que se incorporó en marzo de 2023. Costó ₹ 100 millones de rupias, según declaraciones de los ejecutivos de la compañía en su lanzamiento, y tiene productos en torno a crédito, inversiones, seguros y pagos.
“Todos nuestros servicios en la plataforma están en vivo y totalmente seguros. Todos los clientes impactados han sido contactados de manera proactiva por nosotros y sus tenencias de oro digi se han restaurado sistemáticamente a sus respectivas cuentas”, dijo el portavoz de la compañía.
Según Sidharth Mutreja, cofundador y director de tecnología de la firma de seguridad cibernética casera Rockladder Technologies, las vulnerabilidades de API son lo que los ciberdelincuentes rastrean en su búsqueda para encontrar una “puerta trasera”.
“Hay un número creciente de soluciones de seguridad administradas que ayudan a rastrear tales vulnerabilidades. Incluso entonces, el cifrado débil es uno de los factores más comunes para estas violaciones que proliferan a nivel mundial”, agregó Mutreja.
Kalra de EY dijo que con regulaciones crecientes, como las reglas certificadas de la India y la Ley de Protección de Datos Personal Digital, las empresas enfrentarán “un costo creciente de cumplimiento si sus puertas técnicas, como los puntos finales de API, no están adecuadamente protegidos”. “Los costos, especialmente para las empresas más pequeñas, pueden ser paralizantes”, agregó.
CERT-In manifique una ventana de informes de seis horas para hacks como la violación de oro digital de ABCD, falla que las empresas enfrentan medidas punitivas del gobierno.
