Un déversement de données d’un serveur cloud non sûr propose des expositions de milliers de documents de transfert bancaire sensibles en Inde, révélant les numéros de compte, les chiffres des transactions et les coordonnées des particuliers.
Des chercheurs de la société de cybersécurité Upguard ont découvert fin août un serveur de stockage hébergé par Amazon accessible au public contenant 2733 000 PDF concernant les transferts bancaires de clients indiens.
Les fichiers exposés ont continué les formulaires de transaction remplis destinés au traitement via la National Automated Clearing House, ou NACH, un système centralisé utilisé par les banques en Inde pour faciliter les transactions récurrentes à volume élevé, telles que les assocaires, les remboursements de prêt et les paiements des services publics.
Les données étaient liées à au moins 38 banques et institutions financières différentes, ont déclaré les chercheurs à TechCrunch.
Il n’est pas clair pourquoi les données ont été laissées publiquement et accessibles à Internet, bien que les tours de sécurité de cette nature ne soient pas rares en raison de erreurs de configuration et d’erreur humaine.
Mais on ne sait pas qui a provoqué le déversement de données, qui les a assurés, et qui est finalement responsable de l’alerte de ces données personnelles qui ont été exposées.
Données sécurisées, mais personne n’accepte le blâme
Dans son article de blog détaillant ses résultats, les chercheurs de Gust Guéard ont déclaré que sur un échantillon de 55 000 documents, plus de la moitié des dossiers mentionnaient le nom du prêteur indien Aye Finance, qui avait déposé une introduction en bourse de 171 millions de dollars l’année dernière. La State Bank of India d’État indienne a été la prochaine institution à comparaître par fréquence dans les documents d’échantillonnage, selon les chercheurs.
Après avoir découvert les données exposées, les chercheurs d’Upguard ont informé Aye Finance par le biais de ses adresses e-mail de l’entreprise, du service client et des griefs. Les chercheurs ont également alerté la National Payments Corporation of India, ou NPCI, l’organisme gouvernemental responsable de la gestion de NACH.
Début septembre, les chercheurs ont déclaré que les données étaient toujours exposées et que des milliers de fichiers étaient ajoutés au serveur exposé quotidiennement.
Upguard a déclaré qu’il avait ensuite alerté l’équipe d’intervention d’urgence informatique de l’Inde, certificat. Peu de temps après, les données de l’exposition ont été sécurisées, ont déclaré les chercheurs à TechCrunch.
Mais personne ne semble vouloir assumer la responsabilité de la déchéance de sécurité.
Lorsqu’il a atteint comment, le porte-parole de la NPCI, Ankur Dahiya, a déclaré à TechCrunch que les données de l’exposition ne provenaient pas de son système.
« Une vérification et une revue détaillés ont confirmé qu’aucune donnée liée aux informations / enregistrements du mandat de NACH du système NPCI n’a été compromise », a déclaré le porte-parole dans un e-mail envoyé à TechCrunch.
Le co-fondateur et PDG de Aye Finance, Sanjay Sharma, n’a pas répondu à une demande sur la façon de TechCrunch. La State Bank of India n’a pas non plus répondu à une demande de commentaires.
