Teminatsız bir bulut sunucusundan veri dökülmesi, Hindistan’da yüz binlerce hassas banka switch belgesini ortaya çıkardı ve hesap numaralarını, işlem rakamlarını ve bireylerin iletişim bilgilerini ortaya çıkardı.
Siber güvenlik firması UpGuard’daki araştırmacılar, Ağustos ayı sonlarında Hintli müşterilerin banka transferleriyle ilgili 273.000 PDF belgesi içeren halka açık bir Amazon barındırıcı depolama sunucusu keşfetti.
Maruz kalan dosyalar, Ulusal Otomatik Takas Evi veya NACH, A NACH aracılığıyla işlemeye yönelik tamamlanmış işlem formlarını içeriyordu. merkezi sistem Hindistan’daki bankalar tarafından maaş, kredi geri ödemesi ve kamu hizmeti ödemeleri gibi yüksek hacimli yinelenen işlemleri kolaylaştırmak için kullanılır.
Araştırmacılar, TechCrunch’a verdiği demeçte, verilerin en az 38 farklı banka ve finans kurumuyla bağlantılı olduğunu söyledi.
Dökülme verileri sonunda takıldı, ancak araştırmacılar sızıntının kaynağını tanımlayamadıklarını söylediler.
Bu makalenin yayınlanmasının ardından, Indian Fintech şirketi Nupay, banka switch formlarını içeren “Amazon S3 depolama kovasında bir yapılandırma boşluğunu ele aldığını” doğrulamak için TechCrunch’a e -posta ile ulaştı.
Bu nitelikteki güvenlik turları insan hatası nedeniyle nadir olmasa da, verilerin neden kamuya açık ve web için erişilebilir bırakıldığı açık değildir.
Güvenli veriler, Nupay ‘Yapılandırma Boşluğu’
İçinde blog yazısı Bulgularını detaylandıran UpGuard araştırmacıları, baktıkları 55.000 belgeden oluşan bir örneklemden, dosyaların yarısından fazlasının geçen yıl 171 milyon dolarlık halka arz edilen Hintli borç veren Aye Finance adından bahsettiğini söyledi. Araştırmacılara göre, Hindistan Devlete ait Hindistan Devlet Bankası, örnek belgelerde sıklıkta görünen bir sonraki kurumdu.
Maruz kalan verileri keşfettikten sonra, UpGuard’ın araştırmacıları, kurumsal, müşteri hizmetleri ve şikayet düzeltme e -posta adresleri aracılığıyla Aye Finance’ı bildirdi. Araştırmacılar ayrıca Hindistan Ulusal Funds Company’ı veya NACH’yi yönetmekten sorumlu hükümet organı NPCI’yi uyardı.
Eylül ayı başlarında, araştırmacılar verilerin hala maruz kaldığını ve açık sunucuya günlük olarak binlerce dosyanın eklendiğini söyledi.
UpGuard daha sonra Hindistan’ın bilgisayar acil müdahale ekibi Cert-In uyardığını söyledi. Araştırmacılar TechCrunch’a verdiği demeçte, maruz kalan veriler kısa bir süre sonra güvence altına alındı.
Buna rağmen, güvenlik atlamasından kimin sorumlu olduğu belirsiz kaldı. Aye Finance ve NCPI sözcüsü, veri dökülmesinin kaynağı olduklarını reddetti ve Hindistan Devlet Bankası sözcüsü erişimimizi kabul etti, ancak yorum yapmadı.
Yayın sonrasında Nupay, veri dökülmesinin nedeni olduğunu doğruladı.
Nupay’ın kurucu ortağı ve baş işletme görevlisi Neeraj Singh, TechCrunch’a Amazon S3 kovasında “temel müşteri ayrıntılarına sahip sınırlı bir dizi take a look at kaydı” olduğunu söyledi ve “çoğunluğun kukla veya take a look at dosyaları” olduğunu iddia etti.
Şirket, Amazon tarafından barındırılan günlüklerinin “yetkisiz erişim, veri sızıntısı, kötüye kullanım veya finansal etki olmadığını doğruladı” dedi.
UpGuard, Nupay’ın iddialarına itiraz ederek TechCrunch’a, araştırmacılarının örneklediği sadece binlerce dosyanın take a look at verileri içerdiğini veya Nupay’ın adını formlarda bulunduğunu söyledi. UpGuard, Nupay’ın veri maruziyetini araştırmak için kullanılan IP adresleri için UpGuard’ı istemediği göz önüne alındığında, NuPay’ın bulut günlüklerinin Nupay’ın o zamanki kamu Amazon S3 kovasına nasıl erişebileceğini iddia ettiği belirsiz olduğunu da sözlerine ekledi.
UpGuard ayrıca Amazon Kovası’nın detaylarının araştırmacılarıyla sınırlı olmadığını belirtti, çünkü kamu Amazon S3 kovasının adresi, kamuya açık bulut depolama alanını dizine ekleyen aranabilir bir veritabanı olan Grayhatwarfare tarafından dizine eklendi.
TechCrunch tarafından sorulduğunda, Nupay’dan Singh, Amazon S3 kovasının Net tarafından ne kadar açık bir şekilde erişilebilir olduğunu hemen söylemedi.
İlk olarak 25 Eylül’de yayınlandı ve Nupay’dan yeni bilgilerle güncellendi.
