Un derrame de datos de un servidor en la nube no garantizado ha expuesto cientos de miles de documentos de transferencia bancaria sensibles en India, revelando números de cuenta, cifras de transacciones y datos de contacto de las personas.
Investigadores de la firma de ciberseguridad UpGuard descubrieron a fines de agosto un servidor de almacenamiento con alojamiento de Amazon de accesible públicamente que contiene 273,000 documentos PDF relacionados con las transferencias bancarias de los clientes indios.
Los archivos expuestos contenían formularios de transacción completados destinados a procesar a través de la casa de compensación automática nacional, o nach, un sistema centralizado Utilizado por bancos en la India para facilitar las transacciones recurrentes de alto volumen, como salarios, pagos de préstamos y pagos de servicios públicos.
Los datos estaban vinculados a al menos 38 bancos e instituciones financieras diferentes, dijeron los investigadores a TechCrunch.
Los datos de derramamiento finalmente se conectaron, pero los investigadores dijeron que no podían identificar la fuente de la fuga.
Después de la publicación de este artículo, la compañía india de FinTech Nupay se comunicó con TechCrunch por correo electrónico para confirmar que “abordó una brecha de configuración en un cubo de almacenamiento de Amazon S3” que contenía los formularios de transferencia bancaria.
No está claro por qué los datos quedaron expuestos públicamente y accesibles a Internet, aunque los lapsos de seguridad de esta naturaleza no son infrecuentes debido a un error humano.
Datos asegurados, aunque BLAPE ‘GAP de configuración’
En su publicación de blog Detallando sus hallazgos, los investigadores de UPGuard dijeron que de una muestra de 55,000 documentos que observaron, más de la mitad de los archivos mencionaron el nombre del prestamista indio Aye Finance, que había presentado una OPI de $ 171 millones el año pasado. Según los investigadores, el Banco Estatal de la India, propiedad del estado indio, fue la próxima institución en aparecer por frecuencia en los documentos de muestra.
Después de descubrir los datos expuestos, los investigadores de UpGuard notificaron a AYYE Finance a través de sus direcciones de correo electrónico corporativas, de atención al cliente y de reparación. Los investigadores también alertaron a la Corporación Nacional de Pagos de la India, o NPCI, el organismo gubernamental responsable de administrar NACH.
A principios de septiembre, los investigadores dijeron que los datos aún estaban expuestos y que miles de archivos se agregaban al servidor expuesto diariamente.
Upguard dijo que luego alertó al equipo de respuesta a emergencias informática de la India, Cert-In. Los datos expuestos se aseguraron poco después, dijeron los investigadores a TechCrunch.
A pesar de esto, no estaba claro quién era responsable del lapso de seguridad. Los portavoces de Aye Finance y NCPI negaron que fueran la fuente del derrame de datos, y un portavoz del Banco Estatal de India reconoció nuestro alcance pero no proporcionó comentarios.
Después de la publicación, Nupay confirmó que era la causa del derrame de datos.
El cofundador y director de operaciones de Nupay, Neeraj Singh, le dijo a TechCrunch que se almacenó un “conjunto limitado de registros de prueba con detalles básicos del cliente” en el cubo de Amazon S3 y afirmó que “una mayoría eran archivos ficticios o de prueba”.
La compañía dijo que sus registros alojados en Amazon “confirmaron que no ha habido acceso no autorizado, fuga de datos, mal uso o impacto financiero”.
Upguard disputó las afirmaciones de Nupay, diciéndole a TechCrunch que solo unos pocos cientos de miles de archivos que sus investigadores tomaron muestras parecían contener datos de prueba o tenía el nombre de Nupay en los formularios. Upguard agregó que no estaba claro cómo los registros en la nube de Nupay supuestamente pueden descartar cualquier acceso al entonces público de Amazon S3 de Nupay, dado que Nupay no ha pedido a UpGuard sus direcciones IP que se usaron para investigar la exposición de los datos.
Upguard también señaló que los detalles del cubo de Amazon no se limitaron a sus investigadores, ya que la dirección del cubo público de Amazon S3 había sido indexada por Grayhatwarfare, una base de datos de búsqueda que indexa el almacenamiento en la nube visible públicamente.
Cuando TechCrunch, Singh, Nupay, no dijo de inmediato cuánto tiempo el Amazon S3 Bucket fue accesible públicamente para la web.
Publicado por primera vez el 25 de septiembre y actualizado con nueva información de Nupay.
