Утечка данных с незащищённого облачного сервера привела к утечке сотен тысяч конфиденциальных документов о банковских переводах в Индии, раскрывая номера счетов, суммы транзакций и контактные данные пользователей.
В конце августа исследователи компании UpGuard, занимающейся кибербезопасностью, обнаружили общедоступный сервер хранения данных Amazon, содержащий 273 000 PDF-документов, относящихся к банковским переводам индийских клиентов.
Утеченные файлы содержали заполненные формы транзакций, предназначенные для обработки через Национальную автоматизированную клиринговую палату (NACH) — централизованную систему, используемую банками Индии для обработки больших объёмов повторяющихся транзакций, таких как выплата заработной платы, погашение кредитов и коммунальные платежи.
Как сообщили исследователи TechCrunch, данные были связаны как минимум с 38 различными банками и финансовыми учреждениями.
Неясно, почему данные оказались в открытом доступе и стали доступны в интернете, хотя подобные нарушения безопасности нередки из-за ошибок в настройках и человеческого фактора.
Однако остаётся неясным, кто стал причиной утечки данных, кто обеспечил их безопасность и кто в конечном итоге несёт ответственность за оповещение тех, чьи персональные данные были раскрыты.
Данные защищены, но никто не берёт на себя вину
В своём блоге, подробно описывающем результаты, исследователи UpGuard заявили, что из выборки из 55 000 документов более чем в половине файлов упоминалось название индийского кредитора Aye Finance, который в прошлом году подал заявку на IPO на сумму 171 миллион долларов. Следующим по частоте упоминаний в выборке документов, по словам исследователей, стал государственный банк Индии State Bank of India.
Обнаружив раскрытые данные, исследователи UpGuard уведомили Aye Finance по корпоративным адресам электронной почты, адресам службы поддержки клиентов и адресам для рассмотрения жалоб. Исследователи также уведомили Национальную платёжную корпорацию Индии (NPCI) — государственный орган, ответственный за управление NACH.
К началу сентября исследователи заявили, что данные всё ещё были раскрыты, и на рассекреченный сервер ежедневно добавлялись тысячи файлов.
Компания UpGuard заявила, что затем уведомила индийскую группу реагирования на компьютерные инциденты CERT-In. Вскоре после этого, как сообщили исследователи TechCrunch, раскрытые данные были защищены.
Но, похоже, никто не хочет брать на себя ответственность за уязвимость системы безопасности.
В ответ на запрос TechCrunch представитель NPCI Анкур Дахия заявил, что раскрытые данные не были получены из его систем.
«Тщательная проверка и анализ подтвердили, что никакие данные, связанные с информацией/записями мандата NACH из систем NPCI, не были раскрыты/скомпрометированы», — сообщил представитель в электронном письме, отправленном TechCrunch.
Соучредитель и генеральный директор Aye Finance Санджай Шарма не ответил на запрос TechCrunch о комментарии. Государственный банк Индии также не ответил на запрос.