Cuando los datos se filtraron de los servidores de nubes no garantizados, cientos de miles de documentos de transferencia bancaria confidenciales se publicaron en India, revelando números de cuenta, números de transacción y datos de contacto personal.
Los investigadores de la firma de ciberseguridad Upguard descubrieron un servidor de almacenamiento de Amazon Host disponible públicamente a fines de agosto, que contienen 273,000 documentos PDF relacionados con las transferencias bancarias de los clientes indios.
Los archivos publicados incluyeron formularios de transacción completados destinados a procesar a través de la casa de compensación automatizada nacional o sistemas centralizados utilizados por los bancos indios.
Los datos estaban vinculados a al menos 38 bancos e instituciones financieras diferentes, dijeron los investigadores a TechCrunch.
La revocación de seguridad de esta naturaleza no es infrecuente debido a un error falso o humano, pero no está claro por qué los datos se han hecho públicos y accesibles para Internet.
Pero no está claro quién es responsable de advertir a las personas que filtraron datos, que los aseguraron y quién es responsable de advertir a las personas cuyos datos personales son públicos.
Los datos están asegurados, pero nadie acepta la culpa
En una publicación de blog que detalla sus hallazgos, Upguard dijo que de una muestra de 55,000 documentos, más de la mitad de los archivos mencionó el nombre del prestamista indio Aye Finance, que solicitó una OPI de $ 171 millones el año pasado. Según los investigadores, el Banco Estatal de Estado Indio fue la próxima institución que aparece con frecuencia en los documentos de muestra.
Después de descubrir datos expuestos, los investigadores de UPGuard notificaron a AYYE Finance a través de su empresa, atención al cliente y direcciones de correo electrónico de alivio. Los investigadores también advirtieron a la agencia gubernamental de la NPCI responsable de administrar la Corporación Nacional de Pagos de India o NACH.
A principios de septiembre, los investigadores dijeron que los datos aún eran públicos y que miles de archivos se agregaron a los servidores expuestos todos los días.
Upguard dijo que advirtió Cert-In, un equipo de respuesta de emergencia informática india. Poco después, los datos expuestos fueron asegurados, dijeron los investigadores a TechCrunch.
Sin embargo, parece que no quieren ser responsables del lapso de la seguridad.
Cuando se contactaron los comentarios, el portavoz de NPCI Ankur Dahiya le dijo a TechCrunch que los datos expuestos no estaban disponibles en el sistema.
«La verificación y revisión detalladas confirman que los datos relacionados con NACH no se han publicado/infringen información/registros del sistema NPCI», dijo el portavoz en un correo electrónico enviado a TechCrunch.
Sanjay Sharma, cofundador y CEO de AYE Finance, no respondió a las solicitudes de comentarios de TechCrunch. El Banco Nacional de la India tampoco respondió a las solicitudes de comentarios.
Source link
