Утечка данных из облачного сервера раскрыла сотни тысяч документов о банковских переводах в Индии
Исследователи из компании по кибербезопасности UpGuard в конце августа обнаружили общедоступный сервер хранения данных, размещённый на платформе Amazon, который содержал 273 000 PDF-документов, связанных с банковскими переводами индийских клиентов.
Раскрытые файлы содержали заполненные формы транзакций, предназначенные для обработки через Национальную автоматизированную клиринговую палату (NACH) — централизованную систему, используемую банками в Индии для обработки большого объёма повторяющихся транзакций, таких как зарплаты, выплаты по кредитам и коммунальные платежи.
Данные были связаны как минимум с 38 различными банками и финансовыми учреждениями, сообщили исследователи TechCrunch.
Утечка данных в конечном итоге была устранена, но исследователи не смогли определить источник утечки.
После публикации статьи индийская финтех-компания Nupay связалась с TechCrunch по электронной почте и подтвердила, что «устранила пробел в конфигурации корзины хранения Amazon S3», в которой находились формы банковских переводов.
Неясно, почему данные были доступны общественности, однако подобные упущения в области безопасности нередки из-за человеческих ошибок.
Данные защищены, Nupay винит «пробел в конфигурации»
В своём блоге, где подробно описаны выводы, исследователи UpGuard сообщили, что из 55 000 документов, которые они изучили, более половины упоминали название индийского кредитора Aye Finance, который в прошлом году подал заявку на IPO на сумму 171 миллион долларов. По словам исследователей, следующим по частоте появления в выборке документов было государственное учреждение — Государственный банк Индии.
Обнаружив раскрытые данные, исследователи UpGuard уведомили Aye Finance по корпоративным адресам электронной почты, адресам службы поддержки клиентов и обращениям с жалобами. Исследователи также проинформировали Национальную платёжную корпорацию Индии (NPCI) — государственный орган, отвечающий за управление NACH.
К началу сентября исследователи заявили, что данные всё ещё были доступны, и что тысячи файлов ежедневно добавлялись на открытый сервер.
Затем UpGuard уведомил индийскую команду экстренного реагирования на компьютерные инциденты CERT-In. Вскоре после этого раскрытые данные были защищены, сообщили исследователи TechCrunch.
Несмотря на это, оставалось неясным, кто был виновен в нарушении безопасности. Представители Aye Finance и NPCI отрицали, что они являются источником утечки данных, а представитель Государственного банка Индии подтвердил получение обращения, но не предоставил комментариев.
После публикации Nupay подтвердила, что является причиной утечки данных. Соучредитель и главный операционный директор Nupay Нирадж Сингх сообщил TechCrunch, что в корзине Amazon S3 был сохранён «ограниченный набор тестовых записей с базовыми данными клиентов» и заявил, что «большинство из них были фиктивными или тестовыми файлами».
Компания заявила, что её журналы, размещённые на Amazon, «подтверждают отсутствие несанкционированного доступа, утечки данных, неправомерного использования или финансовых потерь».
UpGuard оспорил заявления Nupay, сообщив TechCrunch, что только несколько сотен из тысяч файлов, которые изучили исследователи, содержали тестовые данные или имели название Nupay в формах. UpGuard добавил, что неясно, как журналы облачных данных Nupay могут якобы исключать любой доступ к общедоступной на тот момент корзине Amazon S3, учитывая, что Nupay не запросила у UpGuard IP-адреса, которые использовались для расследования утечки данных.
UpGuard также отметил, что сведения о корзине Amazon не были ограничены только их исследователями, поскольку адрес общедоступной корзины Amazon S3 был проиндексирован Grayhatwarfare — поисковой базой данных, которая индексирует общедоступные облачные хранилища.
На вопрос TechCrunch Нирадж Сингх из Nupay не смог сразу сказать, как долго корзина Amazon S3 была доступна в интернете.