Un derrame de datos de un servidor en la nimbo no asegurado ha expuesto cientos de miles de documentos de transferencia bancaria sensibles en India, revelando números de cuenta, cifras de transacciones y datos de contacto de las personas.

Investigadores de la firma de ciberseguridad UpGuard descubrieron a fines de agosto un servidor de almacenamiento con alojamiento de Amazon de accesible públicamente que contiene 273,000 documentos PDF relacionados con las transferencias bancarias de los clientes indios.

Los archivos expuestos contenían formularios de transacción completados destinados a procesar a través de la casa de compensación cibernética doméstico, o nach, un sistema centralizado Utilizado por bancos en la India para proporcionar las transacciones recurrentes de detención masa, como salarios, pagos de préstamos y pagos de servicios públicos.

Los datos estaban vinculados a al menos 38 bancos e instituciones financieras diferentes, dijeron los investigadores a TechCrunch.

No está claro por qué los datos se dejaron públicamente expuestos y accesibles a Internet, aunque los lapsos de seguridad de esta naturaleza no son infrecuentes conveniente a configuraciones erróneas y errores humanos.

Pero no está claro quién causó el derrame de datos, quién lo aseguró y quién es en última instancia responsable de alertar a aquellos cuyos datos personales fueron expuestos.

Datos asegurados, pero nadie acepta la pecado

En su publicación de blog Detallando sus hallazgos, los investigadores de UPGUARD dijeron que de una muestra de 55,000 documentos, más de la parte de los archivos mencionaron el nombre del prestamista indio Aye Finance, que había solicitado una OPI de $ 171 millones el año pasado. Según los investigadores, el Lado Estatal de la India, propiedad del estado indio, fue la próxima institución en aparecer por frecuencia en los documentos de muestra.

Posteriormente de descubrir los datos expuestos, los investigadores de UpGuard notificaron a AYYE Finance a través de sus direcciones de correo electrónico corporativas, de atención al cliente y de reparación. Los investigadores además alertaron a la Corporación Franquista de Pagos de la India, o NPCI, el organismo ministerial responsable de establecer NACH.

A principios de septiembre, los investigadores dijeron que los datos aún estaban expuestos y que miles de archivos se agregaban al servidor expuesto diariamente.

Upguard dijo que luego alertó al equipo de respuesta a emergencias informática de la India, Cert-In. Poco luego, los datos expuestos fueron asegurados, dijeron los investigadores a TechCrunch.

Pero nadie parece querer hacerse cargo la responsabilidad del tiempo de seguridad.

Cuando se le contactó para hacer comentarios, el portavoz de NPCI, Ankur Dahiya, le dijo a TechCrunch que los datos expuestos no provenían de sus sistemas.

“Una comprobación y revisión detalladas han confirmado que no se han expuesto/comprometido los datos relacionados con la información/registros del mandato de NACH de los sistemas NPCI”, dijo el portavoz en un correo electrónico enviado a TechCrunch.

El cofundador y CEO de AYE Finance, Sanjay Sharma, no respondió a una solicitud de comentarios de TechCrunch. El Lado Estatal de India siquiera respondió a una solicitud de comentarios.