Um derramamento de dados de um servidor em nuvem não garantido expôs centenas de milhares de documentos sensíveis de transferência bancária na Índia, revelando números de contas, números de transações e detalhes de contato dos indivíduos.
Pesquisadores da empresa de segurança cibernética UpGuard descobriu no remaining de agosto um servidor de armazenamento hospedado em Amazon acessível ao público, contendo 273.000 documentos em PDF relacionados a transferências bancárias de clientes indianos.
Os arquivos expostos continham formulários de transação preenchidos destinados ao processamento through câmara de compensação automatizada nacional, ou nach, um sistema centralizado Usado por bancos na Índia para facilitar transações recorrentes de alto quantity, como salários, pagamentos de empréstimos e pagamentos de serviços públicos.
Os dados estavam vinculados a pelo menos 38 bancos e instituições financeiras diferentes, disseram os pesquisadores a TechCrunch.
Os dados de derramamento acabaram sendo conectados, mas os pesquisadores disseram que não conseguiram identificar a fonte do vazamento.
Após a publicação deste artigo, a empresa indiana FinTech, Nupay, procurou o TechCrunch por e -mail para confirmar que “abordou uma lacuna de configuração em um balde de armazenamento da Amazon S3” que continha os formulários de transferência bancária.
Não está claro por que os dados foram deixados publicamente expostos e acessíveis à Web, embora os lapsos de segurança dessa natureza não sejam incomuns devido ao erro humano.
Dados garantidos, o NUPAY culpa o lacuna de configuração ‘
Em sua postagem no blog Detalhando suas descobertas, os pesquisadores de upguard disseram que de uma amostra de 55.000 documentos que eles analisaram, mais da metade dos arquivos mencionou o nome do credor indiano Aye Finance, que havia pedido um IPO de US $ 171 milhões no ano passado. O Banco Estadual da Índia, de propriedade indiana, foi a próxima instituição a comparecer por frequência nos documentos de amostra, segundo os pesquisadores.
Depois de descobrir os dados expostos, os pesquisadores da UPGuard notificaram o AYE Finance por meio de seus endereços de e -mail corporativos, de atendimento ao cliente e reparação de queixas. Os pesquisadores também alertaram a Corporação Nacional de Pagamentos da Índia, ou NPCI, o órgão do governo responsável pelo gerenciamento da NACH.
No início de setembro, os pesquisadores disseram que os dados ainda estavam expostos e que milhares de arquivos estavam sendo adicionados ao servidor exposto diariamente.
A UpGuard disse que alertou a equipe de resposta a emergências de computadores da Índia, Cert-In. Os dados expostos foram protegidos brand depois, disseram os pesquisadores a TechCrunch.
Apesar disso, não ficou claro quem period responsável pelo lapso de segurança. Os porta -vozes da AYE Finance e da NCPI negaram que fossem a fonte do derramamento de dados, e um porta -voz do Banco Estadual da Índia reconheceu nosso alcance, mas não fez comentários.
Após a publicação, o NUPAY confirmou que foi a causa do derramamento de dados.
O co-fundador e diretor de operações da NUPAY, Neeraj Singh, disse ao TechCrunch que um “conjunto limitado de registros de teste com detalhes básicos do cliente” foi armazenado no balde do Amazon S3, e afirmou que “a maioria period fictícia ou arquivos de teste”.
A empresa disse que seus logs hospedados na Amazon “confirmaram que não houve acesso não autorizado, vazamento de dados, uso indevido ou impacto financeiro”.
UpGuard contestou as alegações de NuPay, dizendo ao TechCrunch que apenas algumas centenas de milhares de arquivos que seus pesquisadores amostras pareciam conter dados de teste ou tinham o nome de Nupay nos formulários. A UPGuard acrescentou que não estava claro como os registros de nuvem de NuPay podem supostamente descartar qualquer acesso ao balde de Nupay, então Public Amazon S3, já que o NUPAY não pediu a UpGuard seus endereços IP que foram usados para investigar a exposição aos dados.
A UpGuard também observou que os detalhes do balde da Amazon não estavam limitados a seus pesquisadores, pois o endereço do balde público da Amazon S3 havia sido indexado pelo Grayhatwarfare, um banco de dados pesquisável que indexa o armazenamento em nuvem visível publicamente.
Quando perguntado pelo TechCrunch, Singh, da NUPAY, não disse imediatamente quanto tempo o balde do Amazon S3 period acessível ao público à net.
Publicado pela primeira vez em 25 de setembro e atualizado com novas informações do NUPAY.
