Um servidor de armazenamento em nuvem sem proteção deixou públicos aproximadamente 273 mil arquivos PDF com informações sensíveis de transferências bancárias realizadas na Índia. A falha foi identificada no fim de agosto por pesquisadores da empresa de cibersegurança UpGuard.
Os documentos expostos continham formulários concluídos para processamento pelo National Automated Clearing House (NACH), sistema utilizado por instituições financeiras indianas para operações recorrentes de grande volume, como salários, pagamentos de empréstimos e contas de serviços públicos. Os arquivos revelavam números de conta, valores transacionados e dados de contato dos clientes.
Segundo a UpGuard, pelo menos 38 bancos e entidades financeiras estavam citados nos documentos. Em uma amostra de 55 mil arquivos analisados pelos especialistas, mais da metade mencionava o credor Aye Finance, que no ano passado protocolou pedido de oferta pública de ações no valor de US$ 171 milhões. O State Bank of India apareceu como a segunda instituição mais frequente.
Após a descoberta, a UpGuard notificou a Aye Finance por diferentes endereços de e-mail corporativos, além de comunicar a National Payments Corporation of India (NPCI), órgão responsável pelo NACH. No início de setembro, porém, o servidor continuava desprotegido e recebendo milhares de novos arquivos diariamente.
Com a persistência da exposição, a empresa contatou também a equipe de resposta a incidentes de segurança da informação do governo indiano, a CERT-In. Pouco depois, o acesso público foi bloqueado, embora não se saiba quem efetuou o fechamento nem quem responderá pelo incidente.
Questionado pelo TechCrunch, o porta-voz da NPCI, Ankur Dahiya, declarou que “nenhum dado relativo a informações ou registros de mandatos do NACH provenientes dos sistemas da NPCI foi exposto ou comprometido”. A Aye Finance, representada pelo cofundador e CEO Sanjay Sharma, e o State Bank of India não responderam aos pedidos de comentário.
Imagem: Getty
Até o momento, não há confirmação sobre a origem da falha de configuração que permitiu o acesso irrestrito ao servidor, nem sobre eventuais notificações às pessoas afetadas.
Palavras-chave: cibersegurança, vazamento de dados, Índia, bancos, NACH, UpGuard, Aye Finance, State Bank of India, CERT-In, AWS
Com informações de TechCrunch
