据 TechCrunch 报道,网络安全公司 UpGuard 披露,超过 273,000 份包含敏感财务记录的 PDF 文件通过一台不安全的亚马逊托管服务器暴露在外,导致印度各地客户的银行转账信息泄露。
该存储库包含账号、联系方式、交易金额和已填写的付款表格等文件,这些文件原本要通过印度国家自动清算所 (NAC) 进行处理。该系统用于支付水电费、工资和贷款分期付款等定期付款。
数据中至少涉及 38 家银行和金融机构,其中印度国家银行 (State Bank of India) 和 Aye Finance 在研究人员检查的样本中出现频率最高。此次泄露事件已报告给 Aye Finance 和印度国家支付公司 (National Payment Corporation of India)。
9 月初,暴露的服务器规模仍在扩大,直到事件上报给印度网络安全响应机构 CERT-In 后才得到保护。调查结果公布后,印度金融科技公司 Nupay 承认责任,并表示此次泄露是由于 Amazon S3 存储桶的配置漏洞造成的。
Nupay 联合创始人兼首席运营官 Neeraj Singh 还指出,大多数文件都是测试文件和包含基本客户详细信息的测试记录。UpGuard 对此说法提出异议,指出只有几百个文件似乎包含测试数据。
该公司还质疑,Nupay 为何能够确认没有人访问过公共存储桶,因为它没有请求 UpGuards 提供调查期间使用的 IP 地址。