Розкрито: тисячі банківських транзакцій з Індії опинились у відкритому доступі через серйозний збій безпеки

Унаслідок витоку даних з незахищеного облачного сервера в Індії було розкрито інформацію про сотні тисяч чутливих документів, пов’язаних з банківськими переказами. Це викликало занепокоєння щодо безпеки фінансових даних, оскільки документація містила номери рахунків, суми транзакцій та контактні дані громадян.

Фахівці з кібербезпеки компанії UpGuard виявили у серпні публічно доступний сервер Amazon, на якому зберігалося 273 тисячі PDF-файлів, що стосуються банківських переказів клієнтів Індії. Ці файли містили заповнені форми транзакцій, призначені для обробки через Національну автоматизовану клірингову палату (NACH), яка слугує централізованою системою для обробки великих обсягів регулярних операцій, таких як виплати зарплат, погашення кредитів та комунальні платежі.

Розкриті дані стосувалися щонайменше 38 різних банків і фінансових установ, зазначили дослідники. Хоча витік вдалося зупинити, відповідального за несправність не вдалося ідентифікувати.

Після публікації інформації компанія Nupay, що працює у фінансових технологіях, підтвердила, що “усунула конфігураційну проблему у сховищі Amazon S3”, де були розташовані документи переказів. Причини, чому дані опинилися у відкритому доступі, залишаються незрозумілими, хоча подібні lapsus безпеки часто стаються через людську помилку.

В розширеній заяві UpGuard детально описав результати свого розслідування: з вибірки у 55 тисяч документів більше половини містили інформацію, пов’язану з індійською компанією Aye Finance, яка торік подавала заявки на IPO на суму 171 мільйон доларів. Наступною за частотою у вибірці значилася Державна банка Індії.

Після виявлення витоку, дослідники сповістили Aye Finance, а також Національну корпорацію платежів Індії (NPCI), яка відповідає за управління NACH. У вересні ситуація залишалася критичною, адже інформація все ще була доступною, а нові файли продовжували з’являтися на сервері кожного дня.

UpGuard також звернулася до комп’ютерної надзвичайної служби Індії, яка вжила заходів, щоб зафіксувати витік. Проте, відповідальність за помилку залишилася невизначеною. Представники Aye Finance та NPCI спростували свою причетність до витоку, тоді як речник Державного банку Індії підтвердив отриману інформацію, але не вніс ясності.

Після публікації Nupay визнала свою причетність до витоку, але зазначила, що в Amazon S3 була зберігалася “обмежена кількість тестових даних із базовою інформацією”. Керівник компанії стверджував, що жодних несанкціонованих доступів, витоків даних чи фінансових зловживань не сталося.

Так, UpGuard спростував цю інформацію, підкреслюючи, що лише кілька сотень із тисяч файлів могли містити тестові дані. Незрозуміло, як Nupay може запевнити у відсутності доступу до публічного сервера, особливо з урахуванням того, що адреса цього Amazon S3 був індексований у відкритих базах даних.

На запит UpGuard, представник Nupay не залишив чіткої інформації про тривалість публічного доступу до сервера. Цей інцидент ще раз підтверджує важливість дотримання заходів безпеки у фінансових технологіях, особливо в умовах стрімкого розвитку цифрових фінансів.