Un derrame de datos de un servidor en la nube no garantizado ha expuesto cientos de miles de documentos de transferencia bancaria sensibles en India, revelando números de cuenta, cifras de transacciones y datos de contacto de las identities.
Investigadores de la firma de ciberseguridad UpGuard descubrieron a fines de agosto un servidor de almacenamiento disadvantage alojamiento de Amazon de accesible públicamente que contiene 273, 000 documentos PDF relacionados trick las transferencias bancarias de los clientes indios.
Los archivos expuestos contenían formularios de transacción completados destinados a procesar a través de la casa de compensación automática nacional, o nach, un sistema centralizado Utilizado por bancos en la India para facilitar las transacciones recurrentes de alto volumen, como salarios, pagos de préstamos y pagos de servicios públicos.
Los datos estaban vinculados a al menos 38 bancos e instituciones financieras diferentes, dijeron los investigadores a TechCrunch.
No está claro por qué los datos se dejaron públicamente expuestos y accesibles an Internet, aunque los lapsos de seguridad de esta naturaleza no son infrecuentes debido a configuraciones erróneas y errores humanos.
Pero no está claro quién causó el derrame de datos, quién lo aseguró y quién es en última instancia responsable de alertar a aquellos cuyos datos personales fueron expuestos.
Datos asegurados, pero nadie acepta la culpa
En su publicación de blog Detallando sus hallazgos, los investigadores de UPGuard dijeron que de una muestra de 55, 000 documentos, más de la mitad de los archivos mencionaron el nombre del prestamista indio Aye Financing, que había solicitado una OPI de $ 171 millones el año pasado. Según los investigadores, el Banco Estatal de la India, propiedad del estado indio, fue la próxima institución en aparecer por frecuencia en los documentos de muestra.
Después de descubrir los datos expuestos, los investigadores de UpGuard notificaron a AYYE Financing a través de sus direcciones de correo electrónico corporativas, de atención al cliente y de reparación. Los investigadores también alertaron a la Corporación Nacional de Pagos de la India, o NPCI, el organismo gubernamental responsable de administrar NACH.
A principios de septiembre, los investigadores dijeron que los datos aún estaban expuestos y que miles de archivos se agregaban al servidor expuesto diariamente.
Upguard dijo que luego alertó al equipo de respuesta a emergencias informática de la India, Cert-In. Poco después, los datos expuestos fueron asegurados, dijeron los investigadores a TechCrunch.
Pero nadie parece querer asumir la responsabilidad del lapso de seguridad.
Cuando se le contactó para hacer comentarios, el portavoz de NPCI, Ankur Dahiya, le dijo a TechCrunch que los datos expuestos no provenían de sus sistemas.
“Una verificación y modification detalladas han confirmado que no se han expuesto/comprometido los datos relacionados con la información/ registros del mandato de NACH de los sistemas NPCI”, dijo el portavoz en un correo electrónico enviado a TechCrunch.
El cofundador y CEO de AYE Finance, Sanjay Sharma, no respondió a una solicitud de comentarios de TechCrunch. El Banco Estatal de India tampoco respondió a una solicitud de comentarios.
