امنیت

درز هزاران سند انتقال بانکی در هند

1 هفته پیش
1 هفته پیش
0 نظر

نشت اطلاعات از یک سرور ابری ناامن، صدها هزار سند حساس مربوط به تراکنش‌های بانکی در هند را در معرض دید عموم قرار داده و اطلاعاتی از قبیل شماره حساب‌ها، مبالغ تراکنش‌ها و اطلاعات تماس افراد را فاش کرده است.

محققان شرکت امنیت سایبری UpGuard در اواخر مرداد ماه یک سرور ذخیره‌سازی میزبانی‌شده توسط آمازون را کشف کردند که به‌طور عمومی قابل دسترسی بود و شامل 273,000 سند PDF مربوط به تراکنش‌های بانکی مشتریان هندی می‌شد.

این فایل‌های فاش شده حاوی فرم‌های تکمیل‌شده تراکنش بودند که برای پردازش از طریق سامانه تسویه خودکار ملی (NACH) در نظر گرفته شده بودند. NACH یک سیستم متمرکز است که توسط بانک‌ها در هند برای تسهیل تراکنش‌های مکرر با حجم بالا مانند پرداخت حقوق، بازپرداخت وام‌ها و پرداخت قبوض استفاده می‌شود.

به گفته محققان به خبرنگار، این داده‌ها به حداقل 38 بانک و موسسه مالی مختلف مرتبط بودند.

هنوز مشخص نیست که چرا این داده‌ها به صورت عمومی در معرض دید قرار گرفته و در دسترس اینترنت قرار داشتند، اگرچه سهل‌انگاری‌های امنیتی از این دست به دلیل پیکربندی‌های نادرست و خطای انسانی غیرمعمول نیستند.

اما هنوز مشخص نیست چه کسی باعث این نشت اطلاعات شده، چه کسی آن را ایمن کرده و چه کسی مسئول نهایی اطلاع‌رسانی به افرادی است که اطلاعات شخصی‌شان در معرض خطر قرار گرفته است.

اطلاعات ایمن شدند، اما هیچ‌کس مسئولیت را نمی‌پذیرد

محققان UpGuard در پست وبلاگی خود که جزئیات یافته‌هایشان را شرح می‌دهد، اعلام کردند که از میان نمونه‌ای از 55,000 سند، بیش از نیمی از فایل‌ها نام شرکت وام‌دهی هندی Aye Finance را ذکر کرده‌اند که سال گذشته درخواست عرضه اولیه 171 میلیون دلاری را ارائه کرده بود. به گفته محققان، بانک دولتی هند (State Bank of India) از نظر فراوانی، دومین موسسه‌ای بود که در اسناد نمونه ظاهر شد.

محققان UpGuard پس از کشف داده‌های فاش شده، از طریق ایمیل‌های شرکتی، خدمات مشتریان و رسیدگی به شکایات، به Aye Finance اطلاع دادند. محققان همچنین شرکت ملی پرداخت هند (NPCI) که نهاد دولتی مسئول مدیریت NACH است را مطلع کردند.

محققان اعلام کردند که تا اوایل شهریور ماه، داده‌ها همچنان در معرض دید بودند و روزانه هزاران فایل به سرور در معرض خطر اضافه می‌شد.

UpGuard گفت که سپس تیم واکنش اضطراری رایانه‌ای هند (CERT-In) را مطلع کرده است. به گفته محققان به خبرنگار، مدت کوتاهی پس از آن، داده‌های فاش شده ایمن شدند.

اما به نظر می‌رسد هیچ‌کس نمی‌خواهد مسئولیت این سهل‌انگاری امنیتی را بر عهده بگیرد.

آنکور داهیا، سخنگوی NPCI، در پاسخ به درخواست اظهار نظر خبرنگار گفت که داده‌های فاش شده از سیستم‌های آن‌ها نیامده است.

سخنگو در ایمیلی که به خبرنگار ارسال شده، گفت: «یک بررسی و بازبینی دقیق تأیید کرده است که هیچ داده‌ای مربوط به اطلاعات/سوابق مجوز NACH از سیستم‌های NPCI در معرض خطر قرار نگرفته است.»

سانجی شارما، بنیانگذار و مدیرعامل Aye Finance، به درخواست خبرنگار برای اظهار نظر پاسخی نداد. بانک دولتی هند نیز به درخواست اظهار نظر پاسخی نداد.

منبع : techcrunch.com

اشتراک‌ها:
دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *