Hindistan’da güvenli olmayan bir bulut sunucusundan kaynaklanan veri sızıntısı, yüz binlerce hassas banka transferi belgesinin ifşasına yol açtı. Bu belgelerde hesap numaraları, işlem tutarları ve bireylerin iletişim bilgileri yer alıyor.
Siber güvenlik firması UpGuard’ın araştırmacıları, Ağustos’un sonlarında, kamuya açık bir Amazon sunucusunun içinde, 273,000 PDF belgesi‘nin bulunduğunu keşfetti. Bu belgeler, Hint müşterilere ait banka transferleriyle ilgiliydi.
İfşa edilen dosyalar, Hindistan’da bankaların yüksek hacimli tekrarlayan işlemleri, örneğin maaşlar, kredi ödemeleri ve fatura ödemeleri gibi işlemleri kolaylaştıran merkezi bir sistem olan NACH aracılığıyla işlenmesi amaçlanan tamamlanmış işlem formlarını içeriyordu.
Araştırmacılar, bu verilerin en az 38 farklı banka ve finans kuruluşuyla bağlantılı olduğunu bildirdi.
Veri Sızıntısı ve Gizlilik Tehditleri
Verilerin neden kamuya açık ve internet erişimine açık bırakıldığı belirsizliğini koruyor. Bu tür güvenlik açıkları genellikle yanlış yapılandırmalar ve insan hatalarından kaynaklanıyor.
Ancak veri sızıntısının nedeni, verilerin kim tarafından güvence altına alındığı ve nihayetinde kişisel verileri ifşa edilenlere kimlerin bildirdiği konusunda hâlâ bir belirsizlik sürüyor.
Sorumluluk Kabul Edilmiyor
UpGuard araştırmacıları, bloglarında yaptıkları açıklamada, 55,000 belge örneğinden daha fazlasının Aye Finance adını içerdiğini belirtti. Aye Finance geçen yıl 171 milyon dolarlık bir Halka Arz süreci başlatmıştı. Ayrıca, örnek belgelerde en sık karşılaşılan diğer kurum Hindistan Devlet Bankası oldu.
Araştırmacılar, ifşa edilen veriyi tespit ettikten sonra, Aye Finance’a kurumsal, müşteri hizmetleri ve şikayet bildirim adresleri aracılığıyla ulaştı. Ayrıca, NACH’ı yöneten hükümet kurumu olan Hindistan Ulusal Ödemeler Kuruluşu‘na da bilgi verdiler.
Eylül ayı başlarında, araştırmacılar ifşa edilen verilerin hâlâ erişilebilir olduğunu ve her gün binlerce belgenin sunucuya eklendiğini bildirdiler.
Bunun üzerine UpGuard, Hindistan’ın bilgisayar acil durum müdahale ekibi CERT-In‘e bildirimde bulundu. Kısa bir süre sonra, veri güvenli hale getirildi.
Mesuliyet Arayışı
Fakat bu güvenlik açığının sorumluluğunu üstlenmek isteyen kimse yok gibi.
NPCI sözcüsü Ankur Dahiya, konuyla ilgili olarak TechCrunch’a yaptığı açıklamada, ifşa edilen bilgilerin kendi sistemlerinden kaynaklanmadığını belirtti. Dahiya, “Detaylı bir doğrulama ve inceleme, NPCI sistemlerinden NACH’a ait herhangi bir bilginin ifşa edilmediğini veya tehlikeye atılmadığını onayladı,” dedi.
Diğer yandan, Aye Finance’ın kurucu ortağı ve CEO’su Sanjay Sharma, TechCrunch’a yapılan yorum talebine yanıt vermedi. Hindistan Devlet Bankası da yorum talebine yanıt vermekten kaçındı.