Un déversement de données d’un serveur cloud non garanti a exposé des centaines de milliers de paperwork de transfert bancaire sensibles en Inde, révélant les numéros de compte, les chiffres des transactions et les coordonnées des particuliers.
Des chercheurs de la société de cybersécurité Upguard ont découvert fin août un serveur de stockage hébergé par Amazon accessible au public contenant 273 000 paperwork PDF relatifs aux transferts bancaires de purchasers indiens.
Les fichiers exposés contenaient des formulaires de transaction remplis destinés au traitement by way of la Nationwide Automated Clearing Home, ou NACH, un système centralisé Utilisé par les banques en Inde pour faciliter les transactions récurrentes à quantity élevé, telles que les salaires, les remboursements de prêts et les paiements des providers publics.
Les données étaient liées à au moins 38 banques et establishments financières différentes, ont déclaré les chercheurs à TechCrunch.
On ne sait pas pourquoi les données ont été laissées publiquement exposées et accessibles à Web, bien que les excursions de sécurité de cette nature ne soient pas rares en raison de erreurs de configuration et d’erreur humaine.
Mais on ne sait pas qui a provoqué le déversement de données, qui les a assurés, et qui est finalement responsable de l’alerte de ceux dont les données personnelles ont été exposées.
Données sécurisées, mais personne n’accepte le blâme
Dans son article de weblog Détaillant ses résultats, les chercheurs de garde up ont déclaré que sur un échantillon de 55 000 paperwork, plus de la moitié des dossiers mentionnaient le nom de Indian prêteur Aye Financequi avait déposé pour une introduction en bourse de 171 tens of millions de {dollars} l’année dernière. La State Financial institution of India d’État indienne a été la prochaine establishment à comparaître par fréquence dans les paperwork d’échantillonnage, selon les chercheurs.
Après avoir découvert les données exposées, les chercheurs d’Upguard ont informé Aye Finance par le biais de ses adresses e-mail de l’entreprise, du service shopper et des griefs. Les chercheurs ont également alerté la Nationwide Funds Company of India, ou NPCI, l’organisme gouvernemental responsable de la gestion de NACH.
Début septembre, les chercheurs ont déclaré que les données étaient toujours exposées et que des milliers de fichiers étaient ajoutés au serveur exposé quotidiennement.
Upguard a déclaré qu’il avait ensuite alerté l’équipe d’intervention d’urgence informatique de l’Inde, certificat. Peu de temps après, les données exposées ont été sécurisées, ont déclaré les chercheurs à TechCrunch.
Mais personne ne semble vouloir assumer la responsabilité de la déchéance de sécurité.
Lorsqu’il a été contacté pour commenter, le porte-parole de la NPCI, Ankur Dahiya, a déclaré à TechCrunch que les données exposées ne provenaient pas de ses systèmes.
« Une vérification et une revue détaillés ont confirmé qu’aucune donnée liée aux informations / enregistrements du mandat de NACH des systèmes NPCI n’a été exposée / compromise », a déclaré le porte-parole dans un e-mail envoyé à TechCrunch.
Le co-fondateur et PDG d’Aye Finance, Sanjay Sharma, n’a pas répondu à une demande de commentaires de TechCrunch. La State Financial institution of India n’a pas non plus répondu à une demande de commentaires.
