نشت اطلاعات از یک سرور ابری ناامن، صدها هزار سند حساس مربوط به تراکنشهای بانکی در هند را در معرض دید عموم قرار داده و اطلاعاتی از قبیل شماره حسابها، مبالغ تراکنشها و اطلاعات تماس افراد را فاش کرده است.
محققان شرکت امنیت سایبری UpGuard در اواخر مرداد ماه یک سرور ذخیرهسازی میزبانیشده توسط آمازون را کشف کردند که بهطور عمومی قابل دسترسی بود و شامل 273,000 سند PDF مربوط به تراکنشهای بانکی مشتریان هندی میشد.
این فایلهای فاش شده حاوی فرمهای تکمیلشده تراکنش بودند که برای پردازش از طریق سامانه تسویه خودکار ملی (NACH) در نظر گرفته شده بودند. NACH یک سیستم متمرکز است که توسط بانکها در هند برای تسهیل تراکنشهای مکرر با حجم بالا مانند پرداخت حقوق، بازپرداخت وامها و پرداخت قبوض استفاده میشود.
به گفته محققان به خبرنگار، این دادهها به حداقل 38 بانک و موسسه مالی مختلف مرتبط بودند.
هنوز مشخص نیست که چرا این دادهها به صورت عمومی در معرض دید قرار گرفته و در دسترس اینترنت قرار داشتند، اگرچه سهلانگاریهای امنیتی از این دست به دلیل پیکربندیهای نادرست و خطای انسانی غیرمعمول نیستند.
اما هنوز مشخص نیست چه کسی باعث این نشت اطلاعات شده، چه کسی آن را ایمن کرده و چه کسی مسئول نهایی اطلاعرسانی به افرادی است که اطلاعات شخصیشان در معرض خطر قرار گرفته است.
اطلاعات ایمن شدند، اما هیچکس مسئولیت را نمیپذیرد
محققان UpGuard در پست وبلاگی خود که جزئیات یافتههایشان را شرح میدهد، اعلام کردند که از میان نمونهای از 55,000 سند، بیش از نیمی از فایلها نام شرکت وامدهی هندی Aye Finance را ذکر کردهاند که سال گذشته درخواست عرضه اولیه 171 میلیون دلاری را ارائه کرده بود. به گفته محققان، بانک دولتی هند (State Bank of India) از نظر فراوانی، دومین موسسهای بود که در اسناد نمونه ظاهر شد.
محققان UpGuard پس از کشف دادههای فاش شده، از طریق ایمیلهای شرکتی، خدمات مشتریان و رسیدگی به شکایات، به Aye Finance اطلاع دادند. محققان همچنین شرکت ملی پرداخت هند (NPCI) که نهاد دولتی مسئول مدیریت NACH است را مطلع کردند.
محققان اعلام کردند که تا اوایل شهریور ماه، دادهها همچنان در معرض دید بودند و روزانه هزاران فایل به سرور در معرض خطر اضافه میشد.
UpGuard گفت که سپس تیم واکنش اضطراری رایانهای هند (CERT-In) را مطلع کرده است. به گفته محققان به خبرنگار، مدت کوتاهی پس از آن، دادههای فاش شده ایمن شدند.
اما به نظر میرسد هیچکس نمیخواهد مسئولیت این سهلانگاری امنیتی را بر عهده بگیرد.
آنکور داهیا، سخنگوی NPCI، در پاسخ به درخواست اظهار نظر خبرنگار گفت که دادههای فاش شده از سیستمهای آنها نیامده است.
سخنگو در ایمیلی که به خبرنگار ارسال شده، گفت: «یک بررسی و بازبینی دقیق تأیید کرده است که هیچ دادهای مربوط به اطلاعات/سوابق مجوز NACH از سیستمهای NPCI در معرض خطر قرار نگرفته است.»
سانجی شارما، بنیانگذار و مدیرعامل Aye Finance، به درخواست خبرنگار برای اظهار نظر پاسخی نداد. بانک دولتی هند نیز به درخواست اظهار نظر پاسخی نداد.
منبع : techcrunch.com
