Teminatsız bir bulut sunucusundan veri dökülmesi, Hindistan’da yüz binlerce hassas banka switch belgesini ortaya çıkardı ve hesap numaralarını, işlem rakamlarını ve bireylerin iletişim bilgilerini ortaya çıkardı.
Siber güvenlik firması UpGuard’daki araştırmacılar, Ağustos ayı sonlarında Hintli müşterilerin banka transferleriyle ilgili 273.000 PDF belgesi içeren halka açık bir Amazon barındırıcı depolama sunucusu keşfetti.
Maruz kalan dosyalar, Ulusal Otomatik Takas Evi veya NACH, A NACH aracılığıyla işlemeye yönelik tamamlanmış işlem formlarını içeriyordu. merkezi sistem Hindistan’daki bankalar tarafından maaş, kredi geri ödemesi ve kamu hizmeti ödemeleri gibi yüksek hacimli yinelenen işlemleri kolaylaştırmak için kullanılır.
Araştırmacılar, TechCrunch’a verdiği demeçte, verilerin en az 38 farklı banka ve finans kurumuyla bağlantılı olduğunu söyledi.
Bu nitelikteki güvenlik turları, yanlış yapılandırmalar ve insan hatası nedeniyle nadir olmasa da, verilerin neden kamuya açık ve web için erişilebilir bırakıldığı açık değildir.
Ancak, veri dökülmesine kimin neden olduğunu, kimin güvence altına aldığını ve nihayetinde kişisel verileri ortaya çıkanları uyarmaktan kimin sorumlu olduğu belirsizliğini koruyor.
Veriler güvence altına alındı, ancak kimse suçlamıyor
İçinde blog yazısı Bulgularını detaylandıran UpGuard araştırmacıları, 55.000 belgeden oluşan bir örneklemden, dosyaların yarısından fazlasının geçen yıl 171 milyon dolarlık halka arz edilen Hintli borç veren Aye Finance adından bahsettiğini söyledi. Araştırmacılara göre, Hindistan Devlete ait Hindistan Devlet Bankası, örnek belgelerde sıklıkta görünen bir sonraki kurumdu.
Maruz kalan verileri keşfettikten sonra, UpGuard’ın araştırmacıları, kurumsal, müşteri hizmetleri ve şikayet düzeltme e -posta adresleri aracılığıyla Aye Finance’ı bildirdi. Araştırmacılar ayrıca Hindistan Ulusal Funds Company’ı veya NACH’yi yönetmekten sorumlu hükümet organı NPCI’yi uyardı.
Eylül ayı başlarında, araştırmacılar verilerin hala maruz kaldığını ve açık sunucuya günlük olarak binlerce dosyanın eklendiğini söyledi.
UpGuard daha sonra Hindistan’ın bilgisayar acil müdahale ekibi Cert-In uyardığını söyledi. Araştırmacılar, kısa bir süre sonra, maruz kalan verilerin güvence altına alındığını söyledi.
Ancak kimse güvenlik atlaması için sorumluluk almak istemiyor gibi görünüyor.
Yorum için ulaşıldığında, NPCI sözcüsü Ankur Dahiya, TechCrunch’a maruz kalan verilerin sistemlerinden gelmediğini söyledi.
Sözcü, TechCrunch’a gönderilen bir e -postayla, “Ayrıntılı bir doğrulama ve inceleme, NACH Memure bilgileri/NPCI sistemlerinden kayıtlarla ilgili hiçbir verinin ortaya çıkarılmadığını/tehlikeye atıldığını doğruladı” dedi.
Aye Finance kurucu ortağı ve CEO’su Sanjay Sharma, TechCrunch’ın yorum talebine yanıt vermedi. Hindistan Devlet Bankası da yorum talebine yanıt vermedi.
