Витік даних з незахищеного хмарного сервера в Індії призвів до розкриття сотень тисяч чутливих документів стосовно банківських переказів, що містять номери рахунків, суми трансакцій та контактні дані осіб.
Вчені з компанії UpGuard, що спеціалізується на кібербезпеці, виявили в кінці серпня публічно доступний сервер зберігання даних, розміщений на Amazon, на якому знаходилися 273 000 PDF-документів, пов’язаних з банківськими переказами індійських клієнтів.
Витік містив заповнені форми транзакцій, призначені для обробки через Національний автоматизований клиринг, або NACH, централізовану систему, яку використовують банки в Індії для проведення високочастотних регулярних транзакцій, таких як виплата зарплат, повернення кредитів та оплата комунальних послуг.
За словами дослідників, дані були пов’язані щонайменше з 38 різними банками та фінансовими установами.
Витік даних був усунений, але дослідники повідомили, що не змогли встановити джерело витоку.
Після публікації цих новин індійська фінансово-технологічна компанія Nupay підтвердила, що вона «вирішила питання конфігурації в Amazon S3 сховищі», де знаходилися документи банківських переказів.
Неясно, чому дані залишалися публічно доступними в інтернеті, хоча подібні lapsu безпеки часто трапляються через людську помилку.
Дані захищені
У своєму блозі, де вони виклали свої знахідки, дослідники UpGuard відзначили, що з вибірки з 55 000 документів більше половини файлів містили назву індійського кредитної установи Aye Finance, яка минулого року подала заявку на IPO на суму 171 мільйон доларів. Наступною за частотою в вибірці документів була державна установа Індії — Державний банк Індії.
Після виявлення витоку UpGuard повідомила Aye Finance через корпоративні, клієнтські та скаргові електронні адреси. Дослідники також сповістили Національну платіжну корпорацію Індії, або NPCI, державний орган, який відповідає за управління NACH.
На початку вересня дослідники зазначили, що дані все ще були доступні, і що щодня до відкритого сервера додавалися тисячі файлів.
UpGuard далі звернулася до комп’ютерної екстреної служби Індії, CERT-In. Дослідники повідомили, що дані були захищені незабаром після цього.
Попри це, залишалося незрозумілим, хто несе відповідальність за витік даних. Представники Aye Finance та NPCI спростували, що вони є джерелом витоку, а представник Державного банку Індії підтвердив звернення, але не надав коментарів.
Після публікації Nupay підтвердила, що є причиною витоку даних.
Nupay, співзасновник і директор з операцій, Нірадж Сінгх, зазначив, що в Amazon S3 сховищі зберігалася «обмежена кількість тестових записів з базовими деталями клієнтів» і стверджував, що «більшість з них були макетними файлами або тестовими».
Компанія зазначила, що журнали, що зберігаються на Amazon, «підтвердили, що не було несанкціонованого доступу, витоку даних, зловживання чи фінансового впливу.»
UpGuard поставила під сумнів заяви Nupay, повідомивши, що лише кілька сотень з тисяч файлів, які дослідники проаналізували, містили тестові дані або ім’я Nupay на формах. UpGuard зазначила, що незрозуміло, як журнали хмари Nupay можуть відкинути доступ до тоді публічного Amazon S3 сховища, враховуючи, що Nupay не зверталася до UpGuard за IP-адресами, які використовувалися для розслідування витоку даних.
UpGuard також звернула увагу, що деталі про Amazon bucket були недоступні лише для їхніх дослідників, оскільки адреса публічного Amazon S3 bucket була проіндексована Grayhatwarfare, пошуковою базою даних, що індексує загальнодоступне хмарне сховище.
На запит UpGuard, Нірадж Сінгх не відповів одразу, скільки часу Amazon S3 bucket був доступний для публічного перегляду.
