Утечка банковских данных в Индии: 273 тыс. документов

Крупная утечка данных из незащищённого облачного сервера привела к раскрытию сотен тысяч конфиденциальных документов о банковских переводах в Индии. Скомпрометированная информация включала номера счетов, суммы транзакций и персональные контактные данные клиентов.

Специалисты кибербезопасности компании UpGuard обнаружили в конце августа общедоступный сервер хранения данных на платформе Amazon, содержащий 273 000 PDF-документов, относящихся к банковским операциям индийских клиентов.

Раскрытые файлы содержали заполненные формы транзакций, предназначенные для обработки через Национальную автоматизированную клиринговую палату (NACH) — централизованную систему, используемую банками Индии для обработки массовых регулярных платежей, включая заработные платы, погашение кредитов и коммунальные расходы.

Как сообщили исследователи TechCrunch, компрометированные данные были связаны как минимум с 38 различными банками и финансовыми учреждениями.

Утечка данных была в конечном итоге устранена, однако исследователи отметили, что им не удалось идентифицировать первоисточник утечки.

После публикации статьи индийская финтех-компания Nupay подтвердила, что устранила «пробел в конфигурации хранилища Amazon S3», содержащего формы банковских переводов.

В своём подробном отчёте исследователи UpGuard указали, что из выборки в 55 000 документов более половины файлов содержали упоминание индийского кредитора Aye Finance, который в прошлом году подал заявку на IPO на 171 миллион долларов. Следующим по частоте упоминаний в выборке документов стал государственный Государственный банк Индии.

После обнаружения уязвимости исследователи UpGuard уведомили Aye Finance через корпоративные, клиентские и правовые электронные адреса. Также были оповещены Национальная корпорация платежей Индии (NPCI) — государственный орган, ответственный за управление NACH.

К началу сентября данные оставались доступными, при этом тысячи новых файлов ежедневно добавлялись на открытый сервер.

UpGuard затем уведомила индийскую команду экстренного реагирования на компьютерные инциденты CERT-In. Вскоре после этого доступ к данным был заблокирован.

Соучредитель и главный операционный директор Nupay Нирадж Сингх заявил TechCrunch, что в хранилище Amazon S3 находился «ограниченный набор тестовых записей с базовыми данными клиентов», причём большинство файлов были фиктивными или тестовыми.

Компания утверждает, что её журналы Amazon «подтвердили отсутствие несанкционированного доступа, утечки данных, неправомерного использования или финансового воздействия».

UpGuard оспорила заявления Nupay, сообщив TechCrunch, что лишь несколько сотен из тысяч исследованных файлов содержали тестовые данные или имели название Nupay в формах. Также было отмечено, что детали хранилища Amazon не ограничивались исследователями, поскольку адрес общедоступного хранилища S3 был проиндексирован базой данных Grayhatwarfare.