Uma falha de segurança em um servidor de armazenamento hospedado na Amazon deixou públicos 273 mil arquivos PDF contendo informações sensíveis sobre transferências bancárias de clientes na Índia. A exposição foi identificada no fim de agosto por pesquisadores da empresa de cibersegurança UpGuard.
Os documentos divulgados eram formulários de transação já preenchidos para processamento no National Automated Clearing House (NACH), sistema centralizado utilizado por bancos indianos para pagamentos recorrentes de alto volume, como salários, empréstimos e contas de serviços.
De acordo com a UpGuard, os registros envolviam dados de pelo menos 38 bancos e instituições financeiras, incluindo números de conta, valores das operações e detalhes de contato dos clientes.
Instituições citadas
Em uma amostra de 55 mil documentos analisados, mais da metade mencionava a fintech Aye Finance, que solicitou um IPO de US$ 171 milhões no ano passado. O State Bank of India apareceu em seguida como a organização mais recorrente na base vazada.
Tentativas de notificação
Após a descoberta, a UpGuard informou a Aye Finance por e-mail (canais corporativo, de atendimento ao cliente e de ouvidoria) e notificou também a National Payments Corporation of India (NPCI), responsável pela gestão do NACH. Mesmo assim, no início de setembro o servidor permanecia aberto e recebia milhares de novos arquivos todos os dias.
Diante da continuidade do problema, os pesquisadores escalaram o alerta à CERT-In, equipe de resposta a incidentes do governo indiano. Pouco depois, o acesso aos dados foi finalmente bloqueado.
Imagem: Getty
Responsabilidade indefinida
Até o momento, nenhuma entidade assumiu a responsabilidade pela falha. Em resposta ao TechCrunch, o porta-voz da NPCI, Ankur Dahiya, declarou que a verificação interna concluiu não haver comprometimento de informações provenientes dos sistemas da corporação.
O cofundador e CEO da Aye Finance, Sanjay Sharma, e o State Bank of India não responderam aos pedidos de comentário.
Com informações de TechCrunch
