Tumpahan data dari server cloud tanpa jaminan telah mengekspos ratusan ribu dokumen transfer bank yang sensitif di India, mengungkapkan angka rekening, angka transaksi, dan rincian kontak individu.
Para peneliti di perusahaan cybersecurity Upguard menemukan pada akhir Agustus server penyimpanan Amazon-host yang dapat diakses publik yang berisi 273.000 dokumen PDF yang berkaitan dengan transfer bank pelanggan India.
File -file yang diekspos berisi formulir transaksi yang sudah diselesaikan yang dimaksudkan untuk diproses melalui National Automate Clearing House, atau Nach, a sistem terpusat Digunakan oleh bank di India untuk memfasilitasi transaksi berulang volume tinggi, seperti gaji, pembayaran pinjaman, dan pembayaran utilitas.
Data tersebut terkait dengan setidaknya 38 bank dan lembaga keuangan yang berbeda, kata para peneliti kepada TechCrunch.
Data tumpahan akhirnya terhubung, tetapi para peneliti mengatakan mereka tidak dapat mengidentifikasi sumber kebocoran.
Setelah publikasi artikel ini, perusahaan Fintech India Nupay menjangkau TechCrunch melalui email untuk mengonfirmasi bahwa itu “membahas kesenjangan konfigurasi dalam ember penyimpanan Amazon S3” yang berisi formulir transfer bank.
Tidak jelas mengapa data dibiarkan terbuka secara publik dan dapat diakses ke internet, meskipun penyimpangan keamanan seperti ini tidak jarang karena kesalahan manusia.
Data diamankan, meskipun blape ‘configuration celah’
Di dalam Posting blognya Merinci temuannya, para peneliti Upguard mengatakan bahwa dari sampel 55.000 dokumen yang mereka lihat, lebih dari setengah file menyebutkan nama pemberi pinjaman India AYE Finance, yang telah mengajukan IPO $ 171 juta tahun lalu. Bank Negara Bagian India milik India adalah lembaga berikutnya yang muncul dengan frekuensi dalam dokumen sampel, menurut para peneliti.
Setelah menemukan data yang terbuka, para peneliti Upguard memberi tahu AYE Finance melalui perusahaannya, layanan pelanggan, dan alamat email pemulihan keluhan. Para peneliti juga memberi tahu National Payments Corporation of India, atau NPCI, badan pemerintah yang bertanggung jawab untuk mengelola NACH.
Pada awal September, para peneliti mengatakan data itu masih terpapar dan ribuan file ditambahkan ke server yang terbuka setiap hari.
Upguard mengatakan itu kemudian memberi tahu tim tanggap darurat komputer India, Cert-in. Data yang terpapar diamankan tak lama setelah itu, para peneliti mengatakan kepada TechCrunch.
Meskipun demikian, tetap tidak jelas siapa yang bertanggung jawab atas selang keamanan. Juru bicara untuk Aye Finance dan NCPI membantah bahwa mereka adalah sumber tumpahan data, dan juru bicara Bank Negara India mengakui penjangkauan kami tetapi tidak memberikan komentar.
Setelah publikasi, Nupay mengkonfirmasi bahwa itu adalah penyebab tumpahan data.
Salah satu pendiri dan chief operating officer Nupay, Neeraj Singh, mengatakan kepada TechCrunch bahwa “serangkaian catatan uji terbatas dengan rincian pelanggan dasar” disimpan dalam ember Amazon S3 dan mengklaim “mayoritas adalah boneka atau file uji.”
Perusahaan mengatakan log yang di-host-Amazon “mengkonfirmasi bahwa belum ada akses yang tidak sah, kebocoran data, penyalahgunaan, atau dampak keuangan.”
Upguard membantah klaim Nupay, memberi tahu TechCrunch bahwa hanya beberapa ratus ribu file yang diambil oleh para peneliti tampaknya berisi data uji atau memiliki nama Nupay di formulir. Upguard menambahkan bahwa tidak jelas bagaimana log cloud Nupay dapat diajukan mengesampingkan akses ke ember Amazon S3 Public Nupay saat itu, mengingat bahwa Nupay belum meminta Upguard untuk alamat IP-nya yang digunakan untuk menyelidiki eksposur data.
Upguard juga mencatat bahwa rincian ember Amazon tidak terbatas pada para peneliti, karena alamat ember Amazon S3 publik telah diindeks oleh Grayhatwarfare, database yang dapat dicari yang mengindeks penyimpanan cloud yang terlihat secara publik.
Ketika ditanya oleh TechCrunch, Nupay’s Singh tidak segera mengatakan berapa lama ember Amazon S3 dapat diakses secara terbuka ke web.
Pertama kali diterbitkan pada 25 September dan diperbarui dengan informasi baru dari Nupay.
