Утечка данных с незащищенного облачного сервера обнажила сотни тысяч конфиденциальных документов о банковских переводах в Индии, раскрывая номера счетов, суммы транзакций и контактные данные физических лиц.
Исследователи из компании по кибербезопасности UpGuard в конце августа обнаружили общедоступный сервер хранения данных, размещенный на Amazon, содержащий 273 000 PDF-документов, связанных с банковскими переводами индийских клиентов.
Открытые файлы содержали заполненные формы транзакций, предназначенные для обработки через Национальную автоматизированную клиринговую палату (NACH), централизованную систему, используемую банками Индии для обработки большого объема регулярных транзакций, таких как зарплаты, погашение кредитов и коммунальные платежи.
Данные были связаны как минимум с 38 различными банками и финансовыми учреждениями, сообщили исследователи TechCrunch.
Неясно, почему данные остались общедоступными и открытыми для интернета, хотя подобные инциденты не редкость из-за ошибок в конфигурации и человеческого фактора.
Однако остается неясным, кто стал причиной утечки данных, кто ее устранил и кто несет ответственность за уведомление тех, чьи личные данные были скомпрометированы.
Данные защищены, но никто не признает вину
В своем блоге, описывающем находку, исследователи UpGuard сообщили, что из выборки в 55 000 документов более половины упоминали название индийского кредитора Aye Finance, который в прошлом году подал заявку на IPO на сумму 171 миллион долларов. Государственный банк Индии (State Bank of India) был следующим по частоте упоминаний в выборке документов, по данным исследователей.
После обнаружения утечки исследователи UpGuard уведомили Aye Finance через корпоративные, клиентские и адреса для рассмотрения жалоб. Также они сообщили Национальной платежной корпорации Индии (NPCI), государственному органу, управляющему NACH.
К началу сентября, по словам исследователей, данные все еще оставались открытыми, и ежедневно на сервер добавлялись тысячи новых файлов.
UpGuard сообщила, что затем уведомила индийскую команду реагирования на компьютерные инциденты (CERT-In). Вскоре после этого данные были защищены, сообщили исследователи TechCrunch.
Но никто, похоже, не хочет брать на себя ответственность за этот промах в безопасности.
Представитель NPCI Анкур Дахия, отвечая на запрос TechCrunch, заявил, что открытые данные не исходили из их систем.
«Детальная проверка и анализ подтвердили, что никакие данные, связанные с мандатами/записями NACH из систем NPCI, не были скомпрометированы», — сказал представитель в электронном письме, отправленном TechCrunch.
Сооснователь и генеральный директор Aye Finance Санжай Шарма не ответил на запрос TechCrunch о комментарии. Государственный банк Индии также не ответил на запрос о комментарии.
Оригинал
Уникальность
