Duomenų išsiliejimas iš neužtikrinto „Cloud Server“ Indijoje atskleidė šimtus tūkstančių jautrių banko perdavimo dokumentų, atskleidžiančių sąskaitų numerius, operacijų duomenis ir asmenų kontaktinę informaciją.
Kibernetinio saugumo įmonės „Unguard“ tyrėjai rugpjūčio pabaigoje atrado viešai prieinamą „Amazon“ prieglobsčio saugyklos serverį, kuriame yra 273 000 PDF dokumentų, susijusių su Indijos klientų bankų pervedimais.
Atsidariuose bylose buvo užpildytos operacijų formos, skirtos apdoroti per Nacionalinį automatinį kliringo namą, arba NACH-centralizuota sistema, kurią Indijoje naudoja bankai, palengvinančios didelio masto pasikartojančius sandorius, tokius kaip atlyginimai, paskolų grąžinimai ir komunalinių paslaugų mokėjimai.
Duomenys buvo susieti su mažiausiai 38 skirtingais bankais ir finansų įstaigomis, tyrėjai pasakojo „TechCrunch“.
Neaišku, kodėl duomenys buvo paliktos viešai ir prieinami internete, nors tokio pobūdžio saugumas nėra neįprastas dėl klaidingų konfigūracijų ir žmogiškųjų klaidų.
Tačiau vis dar neaišku, kas sukėlė duomenų išsiliejimą, kas juos užtikrino ir kuris galiausiai yra atsakingas už įspėjimą apie tuos, kurių asmens duomenys buvo atskleisti.
Duomenys apsaugoti, bet niekas nepriima kaltės
Savo tinklaraščio įraše, kuriame išsamiai aprašytos jo išvados, „Upguard“ tyrėjai teigė, kad iš 55 000 dokumentų imties daugiau nei pusėje bylų paminėtas Indijos skolintojo Aye Finance vardas, kuris praėjusiais metais pateikė 171 mln. USD IPO. Tyrėjai teigia, kad Indijos valstybinis Indijos valstybinis bankas buvo kita institucija, kuri dažniu pasirodė imties dokumentuose.
Sužinoję atskleistus duomenis, „Upguard“ tyrėjai pranešė apie „Aye Finance“ per jos įmonių, klientų aptarnavimo ir nuoskaudų taisyklių el. Pašto adresus. Tyrėjai taip pat įspėjo Indijos nacionalinę mokėjimų korporaciją arba NPCI, vyriausybės įstaigą, atsakingą už NACH valdymą.
Iki rugsėjo pradžios tyrėjai teigė, kad duomenys vis dar buvo atskleisti ir kad kasdien buvo pridedami tūkstančiai failų kasdien.
„Upguard“ teigė, kad tada įspėjo Indijos kompiuterinių ekstremalių situacijų reagavimo komandą, CERT. Netrukus po to buvo užtikrinti atskleisti duomenys, tyrėjai pasakojo „TechCrunch“.
Tačiau atrodo, kad niekas nenori prisiimti atsakomybės už saugumo pasibaigimą.
Pasiekęs komentuoti, NPCI atstovas spaudai Ankur Dahiya „TechCrunch“ sakė, kad atskleisti duomenys nebuvo kilę iš jo sistemų.
„Išsamus patikrinimas ir peržiūra patvirtino, kad nebuvo atskleisti/pažeisti duomenys, susiję su NACH mandato informacija/įrašais iš NPCI sistemų“, – teigė atstovas spaudai el. Laiške, išsiųstame „TechCrunch“.
„Aye Finance“ įkūrėjas ir generalinis direktorius Sanjay Sharma neatsakė į prašymą komentuoti „TechCrunch“. Indijos valstybinis bankas taip pat neatsakė į prašymą komentuoti.
