تسرب بيانات تحويل الأموال في الهند: تفاصيل مثيرة للقلق

تسرب بيانات من خادم سحابي غير مؤمن أدى إلى كشف مئات الآلاف من مستندات تحويل الأموال الحساسة في الهند، مما كشف عن أرقام الحسابات، وأرقام المعاملات، وتفاصيل الاتصال بالأفراد.

اكتشف الباحثون في شركة الأمن السيبراني UpGuard في أواخر أغسطس خادم تخزين مستضاف على أمازون يمكن الوصول إليه علنًا يحتوي على 273,000 مستند PDF يتعلق بتحويلات بنكية لعملاء هنود.

احتوت الملفات المكشوفة على نماذج معاملات مكتملة كانت مخصصة للمعالجة عبر النظام المركزي للتسويات الآلية (NACH)، وهو نظام مركزي تستخدمه البنوك في الهند لتسهيل المعاملات المتكررة ذات الحجم الكبير، مثل الرواتب، وسداد القروض، ومدفوعات المرافق.

كانت البيانات مرتبطة بـ 38 بنكًا ومؤسسة مالية مختلفة على الأقل، وفقًا لما ذكره الباحثون لموقع TechCrunch.

تم سد البيانات المسربة في النهاية، لكن الباحثين قالوا إنهم لم يتمكنوا من تحديد مصدر التسرب.

بعد نشر هذه المقالة، تواصلت شركة التكنولوجيا المالية الهندية Nupay مع TechCrunch عبر البريد الإلكتروني لتأكيد أنها “عالجت فجوة في تكوين دلو تخزين أمازون S3” الذي احتوى على نماذج تحويل الأموال.

ليس من الواضح لماذا تُركت البيانات مكشوفة ومتاحة للإنترنت، على الرغم من أن مثل هذه الأخطاء الأمنية ليست نادرة بسبب الخطأ البشري.

تأمين البيانات، Nupay تلوم “فجوة التكوين”

في منشور مدونتهم الذي يوضح نتائجهم، قال الباحثون في UpGuard إن من بين عينة من 55,000 مستند نظروا إليها، ذكرت أكثر من نصف الملفات اسم المقرض الهندي Aye Finance، الذي قدم طلبًا لطرح عام أولي بقيمة 171 مليون دولار العام الماضي. وكانت أكبر مؤسسة تظهر بتكرار في المستندات العينة هي بنك الدولة الهندي، وفقًا للباحثين.

بعد اكتشاف البيانات المكشوفة، أبلغ الباحثون Aye Finance عبر عناوين البريد الإلكتروني الخاصة بالشركة، ورعاية العملاء، وعناوين الشكاوى. كما أبلغوا أيضًا عن ذلك إلى هيئة المدفوعات الوطنية في الهند (NPCI)، الهيئة الحكومية المسؤولة عن إدارة NACH.

بحلول أوائل سبتمبر، قال الباحثون إن البيانات كانت لا تزال مكشوفة وأن الآلاف من الملفات كانت تُضاف إلى الخادم المكشوف يوميًا.

قالت UpGuard إنها بعد ذلك أبلغت الفريق الهندي للاستجابة للطوارئ الحاسوبية (CERT-In). تم تأمين البيانات المكشوفة بعد ذلك بوقت قصير، وفقًا لما ذكره الباحثون لموقع TechCrunch.

على الرغم من ذلك، ظل غير واضح من المسؤول عن الفجوة الأمنية. نفى المتحدثون باسم Aye Finance وNPCI أنهم كانوا مصدر تسرب البيانات، وأقر متحدث باسم بنك الدولة الهندي بتواصلنا لكنه لم يقدم تعليقًا.

بعد النشر، أكدت Nupay أنها كانت سبب تسرب البيانات.

قال Neeraj Singh، المؤسس المشارك والرئيس التنفيذي للعمليات في Nupay، لموقع TechCrunch إن “مجموعة محدودة من سجلات الاختبار مع تفاصيل العملاء الأساسية” تم تخزينها في دلو Amazon S3 وادعى أن “الغالبية كانت ملفات وهمية أو تجريبية”.

قالت الشركة إن سجلاتها المستضافة على أمازون “أكدت أنه لم يكن هناك وصول غير مصرح به، أو تسرب بيانات، أو إساءة استخدام، أو تأثير مالي”.

تحدت UpGuard مزاعم Nupay، قائلة لموقع TechCrunch إن عددًا قليلاً من الملفات من بين الآلاف التي عاينها الباحثون بدت وكأنها تحتوي على بيانات تجريبية أو تحمل اسم Nupay على النماذج. وأضافت UpGuard أنه من غير الواضح كيف يمكن لسجلات سحابة Nupay أن تستبعد أي وصول إلى دلو Amazon S3 العام الخاص بـ Nupay، نظرًا لأن Nupay لم تطلب من UpGuard عناوين IP التي استخدمت للتحقيق في تسرب البيانات.

كما لاحظت UpGuard أن تفاصيل دلو أمازون لم تكن محصورة على باحثيها، حيث تم فهرسة عنوان دلو Amazon S3 العام بواسطة Grayhatwarfare، وهو قاعدة بيانات قابلة للبحث تفهرس التخزين السحابي المرئي علنًا.

عندما سُئل من قبل TechCrunch، لم يقل Singh من Nupay على الفور كم من الوقت كان دلو Amazon S3 متاحًا للجمهور على الويب.

نُشر لأول مرة في 25 سبتمبر وتم تحديثه بمعلومات جديدة من Nupay.