Migliaia di registrazioni di trasferimenti bancari indiani trovati online

Una fuga di dati da un server cloud non protetto ha reso pubblici centinaia di migliaia di documenti sensibili relativi a bonifici bancari in India, rivelando numeri di conto, cifre delle transazioni e dettagli di contatto delle persone.

I ricercatori dell'azienda di sicurezza informatica UpGuard hanno scoperto a fine agosto un server di archiviazione ospitato su Amazon, accessibile al pubblico, contenente 273.000 documenti PDF relativi a bonifici bancari di clienti indiani.

I file esposti contenevano moduli di transazione compilati, destinati all'elaborazione tramite il National Automated Clearing House, o NACH, un sistema centralizzato utilizzato dalle banche in India per facilitare transazioni ricorrenti di grandi volumi, come stipendi, rimborsi di prestiti e pagamenti di utenze.

I dati sono stati collegati ad almeno 38 diverse banche e istituzioni finanziarie, hanno detto i ricercatori a TechCrunch.

Non è chiaro perché i dati siano stati lasciati pubblici e accessibili su Internet, anche se falle nella sicurezza di questo tipo non sono rare a causa di configurazioni errate ed errori umani.

Ma non è ancora chiaro chi abbia causato la fuga di dati, chi li abbia protetti e chi sia in ultima analisi responsabile di avvisare coloro i cui dati personali sono stati divulgati.

Dati protetti, ma nessuno si assume la colpa

Nel post sul blog in cui sono stati descritti i risultati, i ricercatori di UpGuard hanno affermato che, su un campione di 55.000 documenti, più della metà dei file menzionava il nome dell'istituto di credito indiano Aye Finance , che aveva presentato domanda di IPO da 171 milioni di dollari lo scorso anno. Secondo i ricercatori, la State Bank of India, di proprietà statale indiana, è stata la seconda istituzione a comparire per frequenza nei documenti campione.

Dopo aver scoperto i dati esposti, i ricercatori di UpGuard hanno informato Aye Finance tramite i suoi indirizzi email aziendali, di assistenza clienti e di gestione dei reclami. I ricercatori hanno inoltre allertato la National Payments Corporation of India, o NPCI, l'ente governativo responsabile della gestione del NACH.

All'inizio di settembre, i ricercatori hanno affermato che i dati erano ancora esposti e che ogni giorno venivano aggiunti migliaia di file al server esposto.

UpGuard ha dichiarato di aver quindi allertato il team di risposta alle emergenze informatiche indiano, CERT-In. Poco dopo, i dati esposti sono stati messi in sicurezza, hanno riferito i ricercatori a TechCrunch.

Ma nessuno sembra volersi assumere la responsabilità della falla nella sicurezza.

Contattato per un commento, il portavoce dell'NPCI Ankur Dahiya ha dichiarato a TechCrunch che i dati esposti non provenivano dai suoi sistemi.

"Una verifica e una revisione dettagliate hanno confermato che nessun dato relativo alle informazioni/registrazioni del mandato NACH dai sistemi NPCI è stato esposto/compromesso", ha affermato il portavoce in un'e-mail inviata a TechCrunch.

Il co-fondatore e CEO di Aye Finance, Sanjay Sharma, non ha risposto alla richiesta di commento di TechCrunch. Anche la State Bank of India non ha risposto alla richiesta di commento.