Một sự cố tràn dữ liệu từ một máy chủ đám mây không có bảo đảm đã phơi bày hàng trăm ngàn tài liệu chuyển nhượng ngân hàng nhạy cảm ở Ấn Độ, tiết lộ số tài khoản, số liệu giao dịch và chi tiết liên hệ của cá nhân.
Các nhà nghiên cứu tại công ty an ninh mạng Upguard đã phát hiện ra vào cuối tháng 8, một máy chủ lưu trữ do Amazon có thể truy cập công khai chứa 273.000 tài liệu PDF liên quan đến chuyển nhượng ngân hàng của khách hàng Ấn Độ.
Các tệp bị phơi nhiễm có chứa các mẫu giao dịch đã hoàn thành nhằm xử lý thông qua Nhà thanh toán bù trừ tự động quốc gia, hoặc Nach, một hệ thống tập trung được sử dụng bởi các ngân hàng ở Ấn Độ để tạo điều kiện cho các giao dịch định kỳ có khối lượng cao, như tiền lương, trả nợ cho vay và thanh toán tiện ích.
Dữ liệu được liên kết với ít nhất 38 ngân hàng và tổ chức tài chính khác nhau, các nhà nghiên cứu nói với TechCrunch.
Không rõ lý do tại sao dữ liệu được để lộ công khai và có thể truy cập được vào internet, mặc dù các mất hiệu lực về tính chất này không phải là hiếm do các cấu hình sai và lỗi của con người.
Nhưng vẫn chưa rõ ai đã gây ra sự cố tràn dữ liệu, người đã bảo đảm nó và người chịu trách nhiệm cuối cùng trong việc cảnh báo những người có dữ liệu cá nhân đã bị lộ.
Dữ liệu được bảo mật, nhưng không ai chấp nhận đổ lỗi
Trong bài đăng trên blog của mình chi tiết những phát hiện của mình, các nhà nghiên cứu của UPGuard cho biết, trong số 55.000 tài liệu, hơn một nửa số hồ sơ đã đề cập đến tên của người cho vay Ấn Độ Aye Finance, đã nộp cho IPO trị giá 171 triệu đô la vào năm ngoái. Các nhà nghiên cứu, Ngân hàng Nhà nước Ấn Độ là tổ chức tiếp theo xuất hiện theo tần suất trong các tài liệu mẫu, theo các nhà nghiên cứu.
Sau khi phát hiện ra dữ liệu được phơi bày, các nhà nghiên cứu của UPGuard đã thông báo cho AYE Finance thông qua các địa chỉ email của công ty, chăm sóc khách hàng và giải quyết khiếu nại. Các nhà nghiên cứu cũng cảnh báo Tập đoàn Thanh toán Quốc gia Ấn Độ, hay NPCI, cơ quan chính phủ chịu trách nhiệm quản lý Nach.
Đến đầu tháng 9, các nhà nghiên cứu cho biết dữ liệu vẫn được hiển thị và hàng ngàn tệp đã được thêm vào máy chủ lộ hàng ngày.
Upguard cho biết sau đó đã cảnh báo nhóm ứng phó khẩn cấp máy tính của Ấn Độ, chứng nhận. Ngay sau đó, dữ liệu tiếp xúc đã được bảo mật, các nhà nghiên cứu nói với TechCrunch.
Nhưng dường như không ai muốn chịu trách nhiệm về sai sót bảo mật.
Khi được đưa ra bình luận, người phát ngôn của NPCI Ankur Dahiya nói với TechCrunch rằng dữ liệu được phơi bày không đến từ các hệ thống của nó.
Một người phát ngôn cho biết, một xác minh chi tiết và đánh giá đã xác nhận rằng không có dữ liệu nào liên quan đến thông tin/hồ sơ bắt buộc của Nach từ các hệ thống NPCI đã bị phơi bày/xâm phạm, người phát ngôn nói trong một email được gửi đến TechCrunch.
Đồng sáng lập và Giám đốc điều hành Aye Finance, Sanjay Sharma đã không trả lời yêu cầu bình luận từ TechCrunch. Ngân hàng Nhà nước Ấn Độ cũng không trả lời yêu cầu bình luận.