نشت اطلاعات از یک سرور ابری ناامن، صدها هزار سند مربوط به تراکنشهای بانکی حساس در هند را در معرض دید عموم قرار داده و اطلاعاتی از جمله شماره حسابها، مبالغ تراکنشها و جزئیات تماس افراد را فاش کرده است.
محققان شرکت امنیت سایبری UpGuard در اواخر مرداد ماه، یک سرور ذخیرهسازی میزبانیشده توسط آمازون را پیدا کردند که بهطور عمومی قابل دسترسی بود و شامل ۲۷۳,۰۰۰ سند PDF مربوط به تراکنشهای بانکی مشتریان هندی میشد.
فایلهای افشا شده حاوی فرمهای تکمیلشده تراکنش بودند که برای پردازش از طریق سیستم ملی پرداخت خودکار (NACH) در نظر گرفته شده بودند. NACH یک سیستم متمرکز است که توسط بانکها در هند برای تسهیل تراکنشهای مکرر با حجم بالا، مانند حقوق و دستمزد، بازپرداخت وام و پرداخت قبوض استفاده میشود.
محققان به خبرنگار گفتند که این دادهها حداقل به ۳۸ بانک و موسسه مالی مختلف مرتبط بودهاند.
دسترسی به این اطلاعات نشت کرده در نهایت مسدود شد، اما محققان گفتند که نتوانستهاند منبع نشت را شناسایی کنند.
پس از انتشار این مقاله، شرکت فینتک هندی NuPay از طریق ایمیل با خبرنگار تماس گرفت و تأیید کرد که “یک نقص پیکربندی در یک سطل ذخیرهسازی Amazon S3” که حاوی فرمهای انتقال بانکی بوده را برطرف کرده است.
مشخص نیست که چرا این دادهها بهطور عمومی در معرض دید قرار گرفته و برای دسترسی به اینترنت باز گذاشته شده بودند، اگرچه سهلانگاریهای امنیتی از این دست به دلیل خطای انسانی غیرمعمول نیستند.
اطلاعات ایمن شدند، NuPay “نقص پیکربندی” را مقصر دانست
محققان UpGuard در پست وبلاگی خود که جزئیات یافتههایشان را شرح دادهاند، گفتند که از میان نمونهای متشکل از ۵۵,۰۰۰ سند که بررسی کردهاند، بیش از نیمی از فایلها به نام شرکت وامدهی هندی Aye Finance اشاره کردهاند که سال گذشته درخواست عرضه اولیه سهام به ارزش ۱۷۱ میلیون دلار را ارائه کرده بود. به گفته محققان، پس از آن، نام بانک دولتی هند (State Bank of India) بیشترین تکرار را در اسناد نمونه داشته است.
محققان UpGuard پس از کشف دادههای افشا شده، از طریق ایمیلهای شرکتی، خدمات مشتریان و رسیدگی به شکایات، به Aye Finance اطلاع دادند. محققان همچنین شرکت ملی پرداخت هند (NPCI)، نهاد دولتی مسئول مدیریت NACH را مطلع کردند.
محققان گفتند که تا اوایل شهریور ماه، دادهها همچنان در معرض دید قرار داشتند و روزانه هزاران فایل به سرور افشا شده اضافه میشد.
UpGuard گفت که پس از آن، تیم واکنش اضطراری رایانهای هند (CERT-In) را مطلع کرده است. محققان به خبرنگار گفتند که مدت کوتاهی پس از آن، دادههای افشا شده ایمن شدند.
با وجود این، هنوز مشخص نبود که چه کسی مسئول این سهلانگاری امنیتی بوده است. سخنگویان Aye Finance و NCPI هرگونه دخالت در نشت اطلاعات را رد کردند و سخنگوی بانک دولتی هند، دریافت اطلاعرسانی ما را تأیید کرد اما از اظهار نظر خودداری کرد.
پس از انتشار، NuPay تأیید کرد که عامل نشت اطلاعات بوده است.
مدیر ارشد عملیات و یکی از بنیانگذاران NuPay، نیراج سینگ، به خبرنگار گفت که “مجموعه محدودی از سوابق آزمایشی با جزئیات اولیه مشتری” در سطل Amazon S3 ذخیره شده بود و ادعا کرد که “اکثریت آنها فایلهای ساختگی یا آزمایشی بودند.”
این شرکت اعلام کرد که گزارشهای میزبانیشده توسط آمازون “تأیید کرده است که هیچ دسترسی غیرمجاز، نشت اطلاعات، سوء استفاده یا تأثیر مالی وجود نداشته است.”
UpGuard ادعاهای NuPay را رد کرد و به خبرنگار گفت که فقط چند صد مورد از هزاران فایلی که محققانش نمونهبرداری کردهاند، حاوی دادههای آزمایشی به نظر میرسند یا نام NuPay روی فرمها درج شده بود. UpGuard اضافه کرد که مشخص نیست چگونه گزارشهای ابری NuPay میتواند ادعا کند که دسترسی به سطل Amazon S3 NuPay را رد میکند، با توجه به اینکه NuPay آدرسهای IP مورد استفاده UpGuard برای بررسی افشای اطلاعات را درخواست نکرده است.
UpGuard همچنین خاطرنشان کرد که جزئیات سطل آمازون محدود به محققانش نبوده است، زیرا آدرس سطل عمومی Amazon S3 توسط Grayhatwarfare، یک پایگاه داده قابل جستجو که فضای ذخیرهسازی ابری قابل مشاهده عمومی را فهرست میکند، نمایه شده بود.
وقتی خبرنگار از سینگِ NuPay پرسید، او بلافاصله نگفت که چه مدت سطل Amazon S3 به طور عمومی برای وب قابل دسترسی بوده است.
اولین بار در ۳ مهر منتشر شد و با اطلاعات جدید از NuPay بهروزرسانی شد.
منبع : techcrunch.com
