تم العثور على الآلاف من سجلات التحويل المصرفي الهندي عبر الإنترنت
كشف انسكاب البيانات من خادم سحابة غير مضمون على مئات الآلاف من مستندات التحويل المصرفي الحساسة في الهند ، مما يكشف عن أرقام الحسابات وأرقام المعاملات وتفاصيل الاتصال بالأفراد.
اكتشف الباحثون في شركة Cybersecurity Upguard في أواخر أغسطس خادم تخزين يمكن الوصول إليه من قبل Amazon والذي يحتوي على 273،000 وثائق PDF المتعلقة بالتحويلات المصرفية للعملاء الهنود.
كانت الملفات المكشوفة تحتوي على نماذج معاملات مكتملة مخصصة للمعالجة عبر منزل المقاصة الآلي الوطني ، أو NACH ، وهو نظام مركزي تستخدمه البنوك في الهند لتسهيل المعاملات المتكررة ذات الحجم الكبير ، مثل الرواتب وسداد القروض ومدفوعات الأداة المساعدة.
وقال الباحثون لـ TechCrunch: تم ربط البيانات بـ 38 بنكًا ومؤسسات مالية مختلفة على الأقل.
ليس من الواضح لماذا تركت البيانات مكشوفة علنًا ومتاحة للإنترنت ، على الرغم من أن الهفوات الأمنية من هذا النوع ليست غير شائعة بسبب سوء التكوينات والخطأ البشري.
لكن لا يزال من غير الواضح من الذي تسبب في تسرب البيانات ، الذي حصل عليها ، ومن المسؤول في النهاية عن تنبيه أولئك الذين تعرضوا لبياناتهم الشخصية.
تم تأمين البيانات ، لكن لا أحد يقبل اللوم
في مدونتها التي تفصل النتائج التي توصل إليها ، قال الباحثون في Upguard إنه من بين عينة من 55000 وثيقة ، ذكر أكثر من نصف الملفات اسم المقرض الهندي Aye Finance ، الذي قدم مقابل 171 مليون دولار في العام الماضي. كان بنك الدولة الهندي المملوك للدولة هو المؤسسة التالية التي تظهر بالتردد في مستندات العينة ، وفقًا للباحثين.
بعد اكتشاف البيانات المكشوفة ، أبلغ الباحثون في UpeGuard Aye Finance من خلال عناوين البريد الإلكتروني لشركاتها وخدمة العملاء وتظلمه. كما نبه الباحثون مؤسسة المدفوعات الوطنية في الهند ، أو NPCI ، الهيئة الحكومية المسؤولة عن إدارة NACH.
بحلول أوائل سبتمبر ، قال الباحثون إن البيانات لا تزال مكشوفة وأنه تم إضافة الآلاف من الملفات إلى الخادم المكشوف يوميًا.
وقال Upguard إنه ينبه فريق الاستجابة لحالات الطوارئ في الهند ، Cert-In. بعد فترة وجيزة ، تم تأمين البيانات المكشوفة ، حسبما قال الباحثون عن TechCrunch.
لكن يبدو أن لا أحد يريد أن يتحمل مسؤولية الفاصل الأمني.
عندما تم التوصل إليها للتعليق ، أخبر المتحدث باسم NPCI Ankur Dahiya TechCrunch أن البيانات المكشوفة لم تأتي من أنظمتها.
وقال المتحدث في رسالة بالبريد الإلكتروني الذي تم إرساله إلى TechCrunch: “لقد أكد التحقق والمراجعة التفصيلية أنه لا توجد بيانات تتعلق بمعلومات/سجلات NACH من أنظمة NPCI قد تعرضت/تعرض للخطر”.
لم يستجب Aye Finance المؤسس والمدير التنفيذي لشركة Aye Finance ، Sanjay Sharma لطلب التعليق من TechCrunch. كما لم يستجب بنك الدولة في الهند لطلب التعليق.