Binlerce Hint banka havalesi kaydı çevrimiçi olarak bulundu

Hindistan'da güvenli olmayan bir bulut sunucusundan sızan veri, yüz binlerce hassas banka havalesi belgesinin ifşa olmasına yol açtı. Bu belgeler arasında hesap numaraları, işlem rakamları ve kişilerin iletişim bilgileri yer alıyor.

Siber güvenlik firması UpGuard'daki araştırmacılar, Ağustos ayı sonlarında, Hintli müşterilere ait banka havaleleriyle ilgili 273.000 PDF belgesinin bulunduğu, Amazon tarafından barındırılan ve herkesin erişimine açık bir depolama sunucusu keşfettiler.

Ortaya çıkan dosyalarda, Hindistan'daki bankaların maaş, kredi geri ödemeleri ve kamu hizmeti ödemeleri gibi yüksek hacimli tekrarlayan işlemleri kolaylaştırmak için kullandığı merkezi bir sistem olan Ulusal Otomatik Takas Merkezi (NACH) aracılığıyla işlenmek üzere tamamlanmış işlem formları bulunuyordu.

Araştırmacılar TechCrunch'a yaptıkları açıklamada, verilerin en az 38 farklı banka ve finans kuruluşuyla bağlantılı olduğunu söyledi.

Verilerin neden kamuya açık bırakıldığı ve internete erişime açıldığı tam olarak bilinmiyor ancak yanlış yapılandırmalar ve insan hataları nedeniyle bu tür güvenlik açıkları sıkça görülüyor.

Ancak veri sızıntısına kimin sebep olduğu, verileri kimin güvence altına aldığı ve kişisel verileri ifşa olan kişileri uyarmaktan kimin sorumlu olduğu henüz net değil.

Veriler güvence altına alındı, ancak kimse suçu kabul etmiyor

UpGuard araştırmacıları, bulgularını ayrıntılı olarak açıkladıkları blog yazısında , 55.000 belgeden oluşan bir örneklemin yarısından fazlasında, geçen yıl 171 milyon dolarlık halka arz başvurusunda bulunan Hintli kredi kuruluşu Aye Finance'in adının geçtiğini belirtti. Araştırmacılara göre, örnek belgelerde sıklık sıralamasına göre bir sonraki kurum Hindistan'a ait State Bank of India oldu.

Açığa çıkan verileri keşfettikten sonra, UpGuard araştırmacıları Aye Finance'i kurumsal, müşteri hizmetleri ve şikayet giderme e-posta adresleri aracılığıyla bilgilendirdi. Araştırmacılar ayrıca, NACH'yi yönetmekten sorumlu devlet kurumu olan Hindistan Ulusal Ödemeler Şirketi'ni (NPCI) de uyardı.

Eylül ayı başlarında araştırmacılar, verilerin hala açıkta olduğunu ve açık sunucuya her gün binlerce dosyanın eklendiğini söyledi.

UpGuard, daha sonra Hindistan'ın bilgisayar acil durum müdahale ekibi CERT-In'i uyardığını söyledi. Araştırmacılar, TechCrunch'a yaptıkları açıklamada, kısa bir süre sonra açığa çıkan verilerin güvenliğinin sağlandığını söyledi.

Ancak hiç kimse güvenlik zaafının sorumluluğunu üstlenmek istemiyor gibi görünüyor.

Yorum almak için ulaşılan NPCI sözcüsü Ankur Dahiya, TechCrunch'a ifşa edilen verilerin kendi sistemlerinden gelmediğini söyledi.

Sözcü, TechCrunch'a gönderilen bir e-postada, "Ayrıntılı bir doğrulama ve inceleme, NPCI sistemlerindeki NACH yetki bilgilerine/kayıtlarına ilişkin hiçbir verinin ifşa edilmediğini/tehlikeye atılmadığını doğruladı" dedi.

Aye Finance'in kurucu ortağı ve CEO'su Sanjay Sharma, TechCrunch'ın yorum talebine yanıt vermedi. State Bank of India da yorum talebine yanıt vermedi.