Тисячі записів банківських переказів Індії опинилися у відкритому доступі: жахливе упущення безпеки загрожує мільйонам користувачів

В Індії стався серйозний витік даних через ненадійно захищений хмарний сервер, що відкрив доступ до сотень тисяч конфіденційних документів щодо банківських переказів. Ця ситуація вразила фінансові установи країни, оскільки витік містить персональні дані, зокрема номери рахунків, суми транзакцій та контактні дані клієнтів.

Фахівці з кібербезпеки компанії UpGuard виявили, що в серпні цього року публічно доступний сховищний сервер, розміщений на платформі Amazon, містив 273 000 PDF-документів, що стосуються банківських транзакцій індійських громадян. Дослідження показало, що файли стосувалися поступок через Національну автоматизовану платіжну систему (NACH), яка використовується для обробки масових повторювальних транзакцій, таких як зарплати, погашення кредитів і комунальні платежі.

Згідно з даними UpGuard, інформація була пов’язана щонайменше з 38 різними банками й фінансовими установами. Після виявлення витоку, компанія звернулася до відповідних організацій, включаючи Національний платіжний корпус Індії, що відповідає за управління системою NACH.

Хоча дані були заблоковані, джерело витоку поки не встановлено. Компанія Nupay, що виявилася причетною до інциденту, підтвердила, що на їхньому сервері була виявлена “конфігураційна помилка”, але ще залишається питання, чому дані були надані без захисту.

У звіті UpGuard зазначено, що понад половина з тих 55 000 документів, які розглянули фахівці, містила згадки про індійську фінансову компанію Aye Finance, яка минулого року подала заявку на первинне публічне розміщення акцій на суму 171 мільйон доларів. За словами Nupay, на сервері зберігались лише обмежена кількість тестових записів з базовими даними клієнтів, більшість з яких були “муляжами”.

При цьому UpGuard спростувала твердження Nupay, вказуючи, що багато з проаналізованих файлів не мали жодного відношення до тестових даних. Ця ситуація підкреслює важливість надійних механізмів захисту даних у фінансовому секторі, який стає все більш уразливим до таких кіберінцидентів.

Незважаючи на те, що Nupay запевнила, що доступ до їхнього сервера не був несанкціонованим, тривога з приводу ненадійного зберігання конфіденційних даних залишилася. Цей випадок ще раз доводить, наскільки критично важливо забезпечити безпеку особистих даних у цифрову епоху, коли інформація стає калібром для шахрайства та недобросовісного використання.