Entrada

Miles de registros de transferencias bancarias indias se encontraron derramados en línea después de una falla de seguridad.

Publicado
Por TheCodic
3 min de lectura
Miles de registros de transferencias bancarias indias se encontraron derramados en línea después de una falla de seguridad.

Una fuga de datos de un servidor en la nube no asegurado ha expuesto cientos de miles de documentos sensibles de transferencias bancarias en India, revelando números de cuentas, montos de transacciones y detalles de contacto de individuos.

Investigadores de la firma de ciberseguridad UpGuard descubrieron a finales de agosto un servidor de almacenamiento en Amazon accesible públicamente que contenía 273,000 documentos PDF relacionados con transferencias bancarias de clientes indios.

Los archivos expuestos incluían formularios de transacciones completos destinados a ser procesados a través del Sistema Centralizado de Pagos Automáticos, o NACH, un sistema utilizado por bancos en India para facilitar transacciones recurrentes de alto volumen, como salarios, pagos de préstamos y pagos de servicios públicos.

La data estaba vinculada a al menos 38 diferentes bancos e instituciones financieras, según los investigadores informaron a TechCrunch.

Finalmente se logró tapar la fuga de datos, pero los investigadores no pudieron identificar la fuente del escape.

Tras la publicación de este artículo, la empresa india de fintech NuPay se puso en contacto con TechCrunch por correo electrónico para confirmar que había “resuelto una brecha de configuración en un bucket de almacenamiento en Amazon S3” que contenía los formularios de transferencias bancarias.

No está claro por qué los datos fueron dejados expuestos y accesibles a internet, aunque las fallas de seguridad de este tipo no son inusuales debido a errores humanos.

Datos asegurados, NuPay culpa a ‘brecha de configuración’

En su entrada de blog detallando sus hallazgos, los investigadores de UpGuard indicaron que de una muestra de 55,000 documentos que revisaron, más de la mitad de los archivos mencionaban el nombre del banco indio Aye Finance, que había presentado una oferta pública inicial (OPI) de $171 millones el año pasado. El Banco Estatal de la India fue el siguiente en aparecer con mayor frecuencia en los documentos de muestra, según los investigadores.

Después de descubrir los datos expuestos, los investigadores de UpGuard notificaron a Aye Finance a través de sus direcciones de correo electrónico corporativas, de atención al cliente y de resolución de quejas. También alertaron a la Corporación Nacional de Pagos de India, o NPCI, el organismo gubernamental responsable de gestionar NACH.

Para principios de septiembre, los investigadores indicaron que los datos aún estaban expuestos y que miles de archivos se añadían diariamente al servidor expuesto.

UpGuard dijo entonces que alertó al equipo de respuesta a emergencias informáticas de India, CERT-In. Los datos expuestos se aseguraron poco después, según los investigadores informaron a TechCrunch.

A pesar de esto, remained unclear who was responsible for the security lapse. Spokespeople for Aye Finance and NCPI denied that they were the source of the data spill, and a spokesperson for the State Bank of India acknowledged our outreach but did not provide comment.

Tras la publicación, NuPay confirmó que era la causa del escape de datos.

El cofundador y director de operaciones de NuPay, Neeraj Singh, le dijo a TechCrunch que un “conjunto limitado de registros de prueba con detalles básicos de clientes” se almacenaba en el bucket de Amazon S3, y afirmó que “la mayoría eran archivos de prueba”.

La empresa dijo que sus registros en Amazon confirmaban que no había habido acceso no autorizado, fuga de datos, uso indebido ni impacto financiero.

UpGuard cuestionó las afirmaciones de NuPay, informando a TechCrunch que solo unos pocos cientos de los miles de archivos que sus investigadores revisaron parecían contener datos de prueba o tener el nombre de NuPay en los formularios. UpGuard también añadió que no estaba claro cómo los registros en la nube de NuPay podían supuestamente descartar cualquier acceso al bucket de Amazon S3 de NuPay, dado que NuPay no había solicitado a UpGuard sus direcciones IP utilizadas para investigar la exposición de datos.

UpGuard también señaló que los detalles del bucket de Amazon no estaban limitados a sus investigadores, ya que la dirección del bucket de almacenamiento en Amazon S3 público había sido indexada por Grayhatwarfare, una base de datos indexable que indexa el almacenamiento en la nube visible públicamente.

Cuando se le preguntó por TechCrunch, Singh de NuPay no respondió inmediatamente cuánto tiempo el bucket de Amazon S3 había estado accesible públicamente a internet.

Primero publicado el 25 de septiembre y actualizado con nueva información de NuPay.

Zack Whittaker

Zack Whittaker

Security cybersecurity data exposure fraud India
Esta entrada está licenciada bajo CC BY 4.0 por el autor.