Teminatsız bir bulut sunucusundan veri dökülmesi, Hindistan'da yüz binlerce hassas banka transfer belgesini ortaya çıkardı ve hesap numaralarını, işlem rakamlarını ve bireylerin iletişim bilgilerini ortaya çıkardı.
Siber güvenlik firması UpGuard'daki araştırmacılar, Ağustos ayı sonlarında Hintli müşterilerin banka transferleriyle ilgili 273.000 PDF belgesi içeren halka açık bir Amazon barındırıcı depolama sunucusu keşfetti.
Maruz kalan dosyalar, Ulusal Otomatik Takas Evi veya Hindistan'daki bankalar tarafından maaşlar, kredi geri ödemeleri ve hizmet ödemeleri gibi yüksek hacimli tekrarlayan işlemleri kolaylaştırmak için kullanılan merkezi bir sistem olan NACH ile işlenmeyi amaçlayan tamamlanmış işlem formlarını içeriyordu.
Araştırmacılar, Tmzilla'a verdiği demeçte, verilerin en az 38 farklı banka ve finans kurumuyla bağlantılı olduğunu söyledi.
Bu nitelikteki güvenlik turları, yanlış yapılandırmalar ve insan hatası nedeniyle nadir olmasa da, verilerin neden kamuya açık ve internet için erişilebilir bırakıldığı açık değildir.
Ancak, veri dökülmesine kimin neden olduğunu, kimin güvence altına aldığını ve nihayetinde kişisel verileri ortaya çıkanları uyarmaktan kimin sorumlu olduğu belirsizliğini koruyor.
Veriler güvence altına alındı, ancak kimse suçlamıyor
Bulguları detaylandıran blog yayınında, UpGuard araştırmacıları, 55.000 belgeden oluşan bir örneklemden, dosyaların yarısından fazlasının geçen yıl 171 milyon dolarlık halka arz için başvuran Hintli borç veren Aye Finance adından bahsettiğini söyledi. Araştırmacılara göre, Hindistan Devlete ait Hindistan Devlet Bankası, örnek belgelerde sıklıkta görünen bir sonraki kurumdu.
Maruz kalan verileri keşfettikten sonra, UpGuard'ın araştırmacıları, kurumsal, müşteri hizmetleri ve şikayet düzeltme e -posta adresleri aracılığıyla Aye Finance'ı bildirdi. Araştırmacılar ayrıca Hindistan Ulusal Payments Corporation'ı veya NACH'yi yönetmekten sorumlu hükümet organı NPCI'yi uyardı.
Eylül ayı başlarında, araştırmacılar verilerin hala maruz kaldığını ve açık sunucuya günlük olarak binlerce dosyanın eklendiğini söyledi.
UpGuard daha sonra Hindistan'ın bilgisayar acil müdahale ekibi Cert-In uyardığını söyledi. Araştırmacılar, kısa bir süre sonra, maruz kalan verilerin güvence altına alındığını söyledi.
Ancak kimse güvenlik atlaması için sorumluluk almak istemiyor gibi görünüyor.
Yorum için ulaşıldığında, NPCI sözcüsü Ankur Dahiya, Tmzilla'a maruz kalan verilerin sistemlerinden gelmediğini söyledi.
Sözcü, Tmzilla'a gönderilen bir e -postayla, “Ayrıntılı bir doğrulama ve inceleme, NACH Memure bilgileri/NPCI sistemlerinden kayıtlarla ilgili hiçbir verinin ortaya çıkarılmadığını/tehlikeye atıldığını doğruladı” dedi.
Aye Finance kurucu ortağı ve CEO'su Sanjay Sharma, Tmzilla'ın yorum talebine yanıt vermedi. Hindistan Devlet Bankası da yorum talebine yanıt vermedi.
Bir yanıt yazın