Duizenden Indiase bankoverdrachtrecords die online worden gevonden

Een gegevens morsen van een ongedekte cloudserver heeft honderdduizenden gevoelige bankoverdrachtsdocumenten in India blootgelegd, waarbij rekeningnummers, transactiefijfers en contactgegevens van individuen worden onthuld.

Onderzoekers van cybersecuritybedrijf Upguard ontdekten eind augustus een publiek toegankelijke opslagserver met Amazon met 273.000 PDF-documenten met betrekking tot banktransfers van Indiase klanten.

De blootgestelde bestanden bevatten ingevulde transactievormen die bedoeld zijn voor verwerking through het Nationwide Automated Clearing Home, of NACH, A gecentraliseerd systeem Gebruikt door banken in India om terugkerende transacties met een groot quantity te vergemakkelijken, zoals salarissen, terugbetalingen van leningen en nutsbetalingen.

De gegevens waren gekoppeld aan ten minste 38 verschillende banken en financiële instellingen, vertelden de onderzoekers aan TechCrunch.

Het is niet duidelijk waarom de gegevens publiekelijk werden blootgelegd en toegankelijk voor web, hoewel de beveiligingsvervallen van deze aard niet ongewoon is vanwege verkeerde configuraties en menselijke fouten.

Maar het blijft onduidelijk wie de gegevens heeft laten morsen, die deze heeft beveiligd, en wie uiteindelijk verantwoordelijk is voor het waarschuwen van degenen wier persoonlijke gegevens werden blootgesteld.

Gegevens beveiligd, maar niemand accepteert de schuld

In zijn blogpost De Upguard -onderzoekers beschrijven de bevindingen dat meer dan de helft van de bestanden van een steekproef van 55.000 documenten de naam van de Indiase kredietgever noemde Aye Financedie had ingediend voor een IPO van $ 171 miljoen vorig jaar. De Indiase staatsbank van India was de volgende instelling die volgens de onderzoekers door frequentie in de steekproefdocumenten verscheen.

Na het ontdekken van de blootgestelde gegevens, meldden de onderzoekers van Upguard Aye Finance through haar e -mailadressen van bedrijven, klantenservice en klachten. De onderzoekers waarschuwden ook de Nationwide Funds Company of India, of NPCI, het overheidsorgaan dat verantwoordelijk is voor het beheer van NACH.

Start september zeiden de onderzoekers dat de gegevens nog steeds werden blootgesteld en dat duizenden bestanden dagelijks aan de blootgestelde server werden toegevoegd.

Upguard zei dat het toen het Indiase Pc Emergency Response Workforce, Cert-in, waarschuwde. Kort daarna werden de blootgestelde gegevens beveiligd, vertelden de onderzoekers aan TechCrunch.

Maar niemand lijkt de verantwoordelijkheid te nemen voor de beveiligingsverloop.

Toen hij werd bereikt voor commentaar, vertelde NPCI -woordvoerder Ankur Dahiya TechCrunch dat de blootgestelde gegevens niet uit zijn systemen kwamen.

“Een gedetailleerde verificatie en beoordeling hebben bevestigd dat geen gegevens met betrekking tot NACH -mandaatinformatie/-records van NPCI -systemen zijn blootgesteld/gecompromitteerd,” zei de woordvoerder in een e -mail die naar TechCrunch is verzonden.

Mede-oprichter en CEO van Aye Finance reageerde Sanjay Sharma niet op een verzoek om commentaar van TechCrunch. De State Financial institution of India heeft ook niet gereageerd op een verzoek om commentaar.