Hindistan’da bir bulut sunucusundaki güvenlik açığı, yüz binlerce banka transferi belgesinin ifşa olmasına sebep oldu. Bu belgelerde hesap numaraları, işlem tutarları ve bireylerin iletişim bilgileri yer alıyor.
Veri İfşası ve Güvenlik Açığı
Siber güvenlik firması UpGuard araştırmacıları, Ağustos ayının sonunda herkesin erişimine açık bir Amazon sunucusunda 273,000 PDF belgesi buldular. Bu belgeler, Hindistan’daki müşterilerin banka transferleri ile ilgili bilgiler içeriyordu.
Exploze edilen dosyalar, Hindistan’daki bankalar tarafından yüksek hacimli periyodik işlemleri kolaylaştırmak için kullanılan National Automated Clearing House (NACH) sistemi aracılığıyla işlenmesi amaçlanan tamamlanmış işlem formlarını içeriyordu.
İlk Tepkiler ve Durum Tespiti
Araştırmacılar, ifşa edilen verilerin en az 38 farklı bankayla bağlantılı olduğunu belirttiler. Exposede veri bir süre sonra güvence altına alındı, ancak sızıntının kaynağı tam olarak belirlenemedi.
Haberin yayından sonra, Hindistan’daki fintech şirketi Nupay, Amazon S3 depolama alanındaki bir yapılandırma açığını giderdiğini TechCrunch’a doğruladı. Verilerin internette neden kamuya açık durumda bırakıldığı ise belirsizliğini koruyor; bu tür güvenlik açıkları genellikle insan hatasından kaynaklanıyor.
Yapılandırma Açığı ve Nupay’ın Açıklamaları
UpGuard araştırma ekibi, incelemeye aldıkları 55,000 belgeden %50’sinin, Geçen yıl $171 milyonluk bir IPO duyuran Hint finans kuruluşu Aye Finance ismini içerdiğini belirtti.
Araştırmacılar, Aye Finance’ı kurumsal, müşteri hizmetleri ve şikayet e-posta adresleri üzerinden bilgilendirdi. Ayrıca, Hindistan’ın National Payments Corporation (NPCI) kurumuna da haber verildi.
UpGuard, Eylül ayı başında verilerin hâlâ açık olduğunun ve her gün binlerce dosyanın sunucuya eklenmeye devam ettiğinin altını çizdi. Güvenlik açığı kapatıldıktan sonra, Hindistan bilgisayar acil durum müdahale ekibi CERT-In’a haber verildi ve veriler güvence altına alındı.
Sorumluluk ve İddialar
Buna rağmen, sızıntının sorumlusunun kim olduğu hala belirsiz. Aye Finance ve NPCI yetkilileri bu durumu reddetti, Hindistan’ın devlet bankası SBI ise, iletişime geçildiğini kabul etti ama yorum yapmadı.
Nupay, veri ifşasının sebebi olduğunu doğruladı. Nupay’ın ortak kurucusu Neeraj Singh, TechCrunch’a verdiği röportajda, “Sadece temel müşteri bilgileri içeren sınırlı bir test kaydı setinin depolandığını” iddia etti ve “çoğunun sahte veya test dosyaları olduğunu” ekledi.
Nupay, Amazon’daki loglarının herhangi bir yetkisiz erişim, veri sızıntısı veya finansal etki olmadığını onayladığını belirtti. Ancak UpGuard, bu iddiaları sorguladı ve yalnızca örneklere alınan birkaç yüz dosyanın test verileri içerdiğini açıkladı. UpGuard, Nupay’ın bulut loglarının nasıl erişime kapalı olduğunu sordu.
Grayhatwarfare gibi halka açık bulut depolamayı indeksleyen veritabanlarının bu Amazon S3 kutusunun adresini önceden duyurduğunu belirtti.
TechCrunch tarafından sorulduğunda, Nupay’ın Singh, Amazon S3 kutusunun ne kadar süreyle kamuya açık kaldığını hemen açıklamadı.
Bu metin ilk olarak 25 Eylül’de yayınlandı ve Nupay’dan yeni bilgilerle güncellendi.