В Індії виявлено масовий витік конфіденційних документів, пов’язаних із банківськими переказами, що стався внаслідок ненадійного налаштування хмарного сервера. Через цю помилку безпеки у відкритому доступі опинилися сотні тисяч PDF-файлів із детальною інформацією про банківські рахунки, суми транзакцій та контактні дані клієнтів.
Про це розповідає ProIT
Деталі інциденту: обсяг витоку та реакція учасників
Фахівці з кібербезпеки компанії UpGuard наприкінці серпня виявили загальнодоступне сховище на платформі Amazon, де зберігалося понад 273 тисячі документів щодо банківських переказів громадян Індії. Ці файли містили завершені форми для обробки через Національну автоматизовану клірингову палату (NACH) — централізовану систему, яку використовують банки Індії для опрацювання масових регулярних платежів, зокрема заробітної плати, погашення кредитів і комунальних послуг.
За даними UpGuard, інформація стосувалася щонайменше 38 різних банків і фінансових організацій. У дослідженій вибірці з 55 тисяч файлів понад половина містила згадку про Aye Finance — індійського кредитора, який минулого року подав заявку на IPO на суму 171 мільйон доларів. Другою за частотою згадування стала Державна банк Індії.
“Після виявлення відкритих даних дослідники UpGuard звернулися до Aye Finance через корпоративну, клієнтську та скаргову електронну пошту, а також повідомили Національну платіжну корпорацію Індії (NPCI), що відповідає за адміністрування NACH”.
Хід усунення проблеми та суперечності навколо відповідальності
До початку вересня дані залишалися у відкритому доступі, причому на сервер щодня додавалися нові файли. Команда UpGuard також сповістила Індійську команду реагування на надзвичайні комп’ютерні події (CERT-In), після чого сервер було захищено. Водночас досі залишалося незрозумілим, хто саме несе відповідальність за цей витік. Представники Aye Finance та NPCI заперечили свою причетність, а Державний банк Індії утримався від коментарів.
Після оприлюднення інформації фінтех-компанія Nupay підтвердила, що саме її некоректно налаштований Amazon S3-бакет став причиною витоку. Співзасновник і операційний директор Nupay Нірадж Сінгх пояснив, що в хмарному сховищі перебувала “обмежена кількість тестових записів із базовими даними клієнтів”, і більшість із них, за словами компанії, були фейковими чи тестовими файлами. Крім того, Nupay запевнила, що журнали доступу на Amazon підтверджують відсутність несанкціонованого доступу, витоку даних, зловживання або фінансових втрат.
Однак експерти UpGuard не погодилися з цими твердженнями, зазначивши, що серед тисяч файлів, які вони дослідили, лише кілька сотень мали ознаки тестових даних чи містили згадку про Nupay. Дослідники наголосили, що адреса публічного Amazon S3-бакета була індексована у відкритій базі даних Grayhatwarfare, що дозволяє будь-кому знаходити публічно доступні хмарні сховища.
На питання, скільки часу бакет був у відкритому доступі, представник Nupay не дав чіткої відповіді. Водночас компанія не зверталася до UpGuard із запитом на IP-адреси, які використовувалися під час аналізу інциденту.
Ця ситуація підкреслює гостру необхідність посилення заходів безпеки при роботі з хмарними сервісами, особливо у фінансовому секторі, де обробляється велика кількість конфіденційних даних клієнтів.