Um derramamento de dados de um servidor em nuvem não garantido expôs centenas de milhares de documentos sensíveis de transferência bancária na Índia, revelando números de contas, números de transações e detalhes de contato dos indivíduos.
Pesquisadores da empresa de segurança cibernética UpGuard descobriu no closing de agosto um servidor de armazenamento hospedado em Amazon acessível ao público, contendo 273.000 documentos em PDF relacionados a transferências bancárias de clientes indianos.
Os arquivos expostos continham formulários de transação preenchidos destinados ao processamento by way of câmara de compensação automatizada nacional, ou nach, um sistema centralizado Usado por bancos na Índia para facilitar transações recorrentes de alto quantity, como salários, pagamentos de empréstimos e pagamentos de serviços públicos.
Os dados estavam vinculados a pelo menos 38 bancos e instituições financeiras diferentes, disseram os pesquisadores a TechCrunch.
Não está claro por que os dados foram deixados publicamente expostos e acessíveis à Web, embora os lapsos de segurança dessa natureza não sejam incomuns devido a equívocas e erros humanos.
Mas ainda não está claro quem causou o derramamento de dados, que o garantiu e que é o responsável por alertar aqueles cujos dados pessoais foram expostos.
Dados garantidos, mas ninguém aceita a culpa
Em sua postagem no blog Detalhando suas descobertas, os pesquisadores de upguard disseram que de uma amostra de 55.000 documentos, mais da metade dos arquivos mencionou o nome do credor indiano Aye Finance, que havia pedido um IPO de US $ 171 milhões no ano passado. O Banco Estadual da Índia, de propriedade indiana, foi a próxima instituição a comparecer por frequência nos documentos de amostra, segundo os pesquisadores.
Depois de descobrir os dados expostos, os pesquisadores da UPGuard notificaram o AYE Finance por meio de seus endereços de e -mail corporativos, de atendimento ao cliente e reparação de queixas. Os pesquisadores também alertaram a Corporação Nacional de Pagamentos da Índia, ou NPCI, o órgão do governo responsável pelo gerenciamento da NACH.
No início de setembro, os pesquisadores disseram que os dados ainda estavam expostos e que milhares de arquivos estavam sendo adicionados ao servidor exposto diariamente.
A UpGuard disse que alertou a equipe de resposta a emergências de computadores da Índia, Cert-In. Emblem depois, os dados expostos foram garantidos, disseram os pesquisadores a TechCrunch.
Mas ninguém parece querer assumir a responsabilidade pelo lapso de segurança.
Quando alcançado para comentar, o porta -voz da NPCI, Ankur Dahiya, disse ao TechCrunch que os dados expostos não vinham de seus sistemas.
“Uma verificação e revisão detalhadas confirmaram que nenhum dado relacionado às informações/registros da NACH dos sistemas NPCI foi exposto/comprometido”, disse o porta -voz em um e mail enviado ao TechCrunch.
O co-fundador e CEO da AYE Finance, Sanjay Sharma, não respondeu a um pedido de comentário da TechCrunch. O Banco Estadual da Índia também não respondeu a um pedido de comentário.
