Açık bir bulut sunucusundan sızan veriler, Hindistan’da yüz binlerce hassas banka transferi belgesini gün yüzüne çıkardı. Bu belgelerde hesap numaraları, işlem tutarları ve bireylerin iletişim bilgileri yer alıyor.
Siber güvenlik firması UpGuard’ın araştırmacıları, Ağustos ayı sonunda, Hindistan müşterilerine ait banka transfer belgelerinin bulunduğu 273,000 PDF belgesinin yer aldığı, herkese açık bir Amazon sunucusu keşfetti.
Sızan dosyalar, Ulusal Otomatik Temizleme Evi (NACH) aracılığıyla işlenmek üzere tasarlanmış tamamlanmış işlem formlarını içeriyordu. NACH, Hindistan’daki bankaların maaş, kredi geri ödemeleri ve fatura ödemeleri gibi yüksek hacimli tekrarlayan işlemleri kolaylaştırmak için kullandığı merkezi bir sistemdir.
Araştırmacılar, sızan verilerin en az 38 farklı banka ve finans kurumuyla bağlantılı olduğunu bildirdi.
Verilerin neden açıkta bırakıldığı ise hala belirsiz. Bu tür güvenlik açıkları, yanlış yapılandırmalar ve insan hataları nedeniyle sıkça yaşanabiliyor.
Veri Güvenli, Ama Kimse Sorumluluğu Üstlenmiyor
UpGuard, bulgularını detaylandırdığı blog yazısında, 55,000 belge örneğinden daha fazlasının, geçtiğimiz yıl $171 milyonluk bir halka arz başvurusu yapan Hindistanlı kredi kuruluşu Aye Finance ismini taşıdığını belirtti. Araştırmacılara göre, örnek belgelerde en sık görülen bir diğer kurum ise Hindistan Devlet Bankası oldu.
Sızan verilerin keşfedilmesinin ardından, UpGuard araştırmacıları Aye Finance’i kurumsal, müşteri hizmetleri ve şikayet e-posta adresleri aracılığıyla bilgilendirdi. Ayrıca, NACH’ı yöneten devlet organı olan Ulusal Ödeme Şirketi (NPCI)‘yı da uyardılar.
Eylül ayı başlarına gelindiğinde, araştırmacılar sızan verilerin hala açık olduğunu ve her gün binlerce dosyanın açık sunucuya eklendiğini bildirdi.
UpGuard, ardından Hindistan’ın bilgisayar acil durum müdahale ekibi CERT-In‘i bilgilendirdi. Kısa bir süre sonra, sızan verilerin güvence altına alındığı bildirildi.
Ancak, güvenlik açığının sorumluluğunu üstlenmek isteyen kimse görünmüyor.
NPCI sözcüsü Ankur Dahiya, TechCrunch’a yaptığı açıklamada, sızan verilerin kendi sistemlerinden gelmediğini ifade etti. Dahiya, “Detaylı bir doğrulama ve inceleme, NPCI sistemlerinden NACH yetki bilgileri/ kayıtlarıyla ilgili hiçbir verinin açığa çıkmadığını/tehlikeye atılmadığını doğrulamıştır,” dedi.
Aye Finance’in kurucu ortağı ve CEO’su Sanjay Sharma, TechCrunch’tan gelen yorum talebine yanıt vermedi. Hindistan Devlet Bankası da benzer şekilde yorum talebine yanıt vermedi.
