Утечка данных из незащищенного облачного сервера привела к утечке сотен тысяч конфиденциальных документов о банковских переводах в Индии, раскрывая номера счетов, суммы транзакций и контактные данные отдельных лиц.
В конце августа исследователи компании UpGuard, занимающейся кибербезопасностью, обнаружили общедоступный сервер хранения данных Amazon, содержащий 273 000 PDF-документов, связанных с банковскими переводами индийских клиентов.
В раскрытых файлах содержались заполненные формы транзакций, предназначенные для обработки через Национальную автоматизированную клиринговую палату (NACH) — централизованную систему, используемую банками в Индии для упрощения объемных повторяющихся транзакций, таких как выплата заработной платы, погашение кредитов и коммунальные платежи.
Исследователи сообщили TechCrunch, что данные были связаны как минимум с 38 различными банками и финансовыми учреждениями.
Неясно, почему данные остались публично открытыми и доступными в Интернете, хотя подобные нарушения безопасности — не редкость из-за неправильных настроек и человеческих ошибок.
Однако остается неясным, кто стал причиной утечки данных, кто обеспечил ее безопасность и кто в конечном итоге несет ответственность за оповещение тех, чьи персональные данные были раскрыты.
Данные защищены, но никто не берет на себя вину
В публикации в блоге, подробно описывающей результаты исследования, исследователи UpGuard сообщили, что из выборки из 55 000 документов более чем в половине файлов упоминалось название индийского кредитора Aye Finance, который в прошлом году подал заявку на IPO на сумму 171 миллион долларов. Следующим по частоте упоминаний в выборке документов, по данным исследователей, стал индийский государственный банк State Bank of India.
Обнаружив раскрытые данные, исследователи UpGuard уведомили Aye Finance через корпоративные адреса электронной почты, адреса службы поддержки клиентов и адреса для рассмотрения жалоб. Исследователи также уведомили Национальную платёжную корпорацию Индии (NPCI) — государственный орган, ответственный за управление NACH.
К началу сентября исследователи заявили, что данные по-прежнему были уязвимы и что на уязвимый сервер ежедневно добавлялись тысячи файлов.
UpGuard сообщила, что затем уведомила индийскую службу реагирования на компьютерные инциденты CERT-In. Вскоре после этого данные были зашифрованы, сообщили исследователи TechCrunch.
Но, похоже, никто не хочет брать на себя ответственность за провал в сфере безопасности.
Представитель NPCI Анкур Дахия в интервью TechCrunch заявил, что раскрытые данные не были получены из его систем.
«Подробная проверка и анализ подтвердили, что никакие данные, связанные с информацией/записями мандата NACH из систем NPCI, не были раскрыты/скомпрометированы», — сообщил представитель в электронном письме, отправленном TechCrunch.
Соучредитель и генеральный директор Aye Finance Санджай Шарма не ответил на запрос TechCrunch о комментарии. Государственный банк Индии также не ответил на запрос.
Источник: techcrunch.com
