Un déversement de données d’un serveur cloud non sûr propose des expositions de milliers de documents de transfert bancaire sensibles en Inde, révélant les numéros de compte, les chiffres des transactions et les coordonnées des particuliers.
Des chercheurs de la société de cybersécurité Upguard ont découvert fin août un serveur de stockage hébergé par Amazon accessible au public contenant 2733 000 PDF concernant les transferts bancaires de clients indiens.
Les fichiers exposés ont continué les formulaires de transaction remplis destinés au traitement via la National Automated Clearing House, ou NACH, un système centralisé utilisé par les banques en Inde pour faciliter les transactions récurrentes à volume élevé, telles que les assocaires, les remboursements de prêt et les paiements des services publics.
Les données étaient liées à au moins 38 banques et institutions financières différentes, ont déclaré les chercheurs à TechCrunch.
Les données de déversement ont finalement été branchées, mais les chercheurs ont déclaré qu’ils ne pouvaient pas identifier la source de la fuite.
À la suite de la publication de cet article, la société indienne Finch Nupay a contacté TechCrunch par e-mail pour confirmer qu’il «combler un écart de configuration dans un seau de stockage Amazon S3» qui contenait les formulaires de transfert bancaire.
Il n’est pas clair pourquoi les données ont été laissées publiquement et accessibles à Internet, bien que les tours de sécurité de cette nature ne soient pas rares en raison d’une erreur humaine.
Données sécurisées, Nupay blâme «GAP»
Dans son article de blog détaillant ses résultats, les chercheurs de Gust Guarard ont déclaré que sur un échantillon de 55 000 personnes qu’ils sont examinés, plus de la moitié des dossiers mentionnaient le nom du prêteur indien Aye Finance, qui avait déposé une introduction en bourse de 171 millions de dollars l’année dernière. La State Bank of India d’État indienne a été la prochaine institution à comparaître par fréquence dans les documents d’échantillonnage, selon les chercheurs.
Après avoir découvert les données exposées, les chercheurs d’Upguard ont informé Aye Finance par le biais de ses adresses e-mail de l’entreprise, du service client et des griefs. Les chercheurs ont également alerté la National Payments Corporation of India, ou NPCI, l’organisme gouvernemental responsable de la gestion de NACH.
Début septembre, les chercheurs ont déclaré que les données étaient toujours exposées et que des milliers de fichiers étaient ajoutés au serveur exposé quotidiennement.
Upguard a déclaré qu’il avait ensuite alerté l’équipe d’intervention d’urgence informatique de l’Inde, certificat. Les données exposées ont été obtenues peu de temps après, ont déclaré les chercheurs à TechCrunch.
Malgré cela, il est resté non sûr qui était responsable de la déchéance de sécurité. Les porte-parole pour Aye Finance et NCPI ont nié avoir été la source du déversement de données, et un porte-parole de la Banque d’État de l’Inde a reconnu notre étranger mais de ne pas faire de commentaires.
Après la publication, Nupay a confirmé qu’il s’agissait de la cause du déversement de données.
Le co-fondateur et chef de l’exploitation de Nupay, Neeraj Singh, a déclaré à TechCrunch qu’un «ensemble limité de records de test avec les détails de base du client» avait été stocké dans le seau Amazon S3 et a affirmé que «une majorité était un mannequin ou des fichiers de test.
La société a déclaré que ses journaux hébergés par Amazon « ont confirmé qu’il n’y avait pas d’accès non autorisé, de fuite de données, d’utilisation abusive ou d’impact financier ».
Upguard a contesté les affirmations de Nupay, en disant à TechCrunch que seulement quelques chasseurs de milliers de fichiers que ses chercheurs ont échantillonné semblaient contenir des données de test ou avaient le nom de Nupay sur les formulaires. UpGuard a ajouté qu’il n’était pas clair comment les journaux cloud de Nupay peuvent exclure tout accès au seau Amazon S3 de Nupay alors publique, étant donné que Nupay n’a pas demandé à Upguard pour ses IPP qui ont été utilisés pour enquêter sur l’exposition de données.
Upguard a également noté que les détails du seau Amazon que nous ne nous sommes pas limités à ses chercheurs, car l’adresse du seau public Amazon S3 avait été indexée par Grayhatwarfare, une base de données consultable qui indexe le stockage cloud visible publiquement.
Lorsqu’on lui a demandé par TechCrunch, Singh de Nupay a maintenant dit Immonendly combien de temps le seau Amazon S3 a été accessible au public.
Publié pour la première fois le 25 septembre et mis à jour avec de nouvelles informations de Nupay.
