インド銀行振込情報を含む何千もの文書がインターネット上で漏洩

ジャカルタ - インドの多くの銀行からの何千もの文書が漏洩し、インターネット上でアクセスできました。このドキュメントには、口座番号、取引番号、顧客連絡先などの機密データが含まれていることが知られています。

このデータ漏洩は、昨年8月下旬にサイバーセキュリティ会社であるUpGuardの研究者によって発見されました。研究者らは、Amazonによってホストされ、公にアクセス可能なストレージサーバーを発見しました。

開封すると、サーバーには銀行からのユーザー転送取引に関する273,000のPDF文書が含まれていることが判明しました。このサーバーは、パスワードやその他の種類の保護なしで公開されます。

公開された多数のファイルには、国立自動クリアリングハウス(Nach)によって処理される必要がある完全なトランザクションフォームが含まれています。インドの銀行が給与支払い、ローン、公益事業などの大量の取引を容易にするための中央集権的なシステムです。

UpGuardの研究者は、彼らが発見したデータはインドの38の異なる銀行と金融機関に関連していると言いました。このニュースが発表されるまで、何十万ものこの文書がインターネット上で漏洩した当事者が誰だったのかは不明のままでした。

UpGuardがレビューした55,000の文書のサンプルでは、ファイルの半分以上がインドの貸し手会社であるAye Financeの名前を挙げています。最も一般的に表示される次の名前は、インドの州立銀行です。

研究者らは、Aye FinanceにNachシステムを管理する機関であるNPCIにこの問題に対処するよう通知しました。ただし、ユーザーデータは9月上旬までインターネット上で公開されていました。

自由に流通することを許可されるだけでなく、この機密データは毎日成長し続けています。UpGuardの調査結果によると、サーバーに表示され続けている何千もの新しいファイルがあります。

インドのコンピュータ緊急対応チームCERT-Inに連絡した後、何千もの公開されたデータが正常に保護されました。アクセスできなくなったが、ユーザーのデータ漏洩の責任を問われたり、求められたりした当事者はいない。

これまでのところ、アイファイナンスもインド国家銀行も声明を出していない。しかし、NPCIの広報担当者Ankur Dahiya氏はTechCrunch に対し、公開されたデータは彼らのシステムから来ていないと語った。