サイバーセキュリティ企業UpGuardは、インドの銀行顧客に関連する273,000件の送金記録が公開されていたことを発表しました。これらの記録は、Amazonがホストするストレージサーバーに保存されており、インドの国家自動清算機構(NACH)を通じて処理される予定の送金書類が含まれていました。
研究者によれば、少なくとも38の銀行や金融機関に関連するデータが含まれていたということです。データの漏洩は最終的に防がれましたが、漏洩の原因は特定されていません。
この記事の公開後、インドのフィンテック企業Nupayが、Amazon S3ストレージバケットの設定の不備を修正したとTechCrunchにメールで確認したということです。しかし、なぜデータが公開されていたのかは明らかにされていません。
UpGuardの研究者は、55,000件の文書を調査し、そのうち半数以上にインドの貸金業者Aye Financeの名前が記載されていたと報告しました。Aye Financeは昨年、約265億円(171百万ドル)のIPOを申請していました。次に多く見られたのは、インド国営のState Bank of Indiaでした。
データの発見後、UpGuardの研究者はAye FinanceおよびNACHを管理するインド国立決済公社(NPCI)に通知しました。9月初めには、データが依然として公開されており、新たなファイルが毎日追加されていたとしています。
UpGuardは、インドのコンピュータ緊急対応チーム(CERT-In)にも警告を発し、その後データは保護されたということです。しかし、セキュリティの欠陥の責任者は不明のままで、Aye FinanceとNPCIの広報担当者はデータ漏洩の原因ではないと否定しました。State Bank of Indiaの広報担当者はコメントを控えました。
記事の公開後、Nupayがデータ漏洩の原因であると確認しました。Nupayの共同創設者兼COOのNeeraj Singh氏は、Amazon S3バケットに基本的な顧客情報を含む限られたテスト記録が保存されていたと述べました。
Nupayは、Amazonホストのログから不正アクセスやデータ流出がなかったと主張しましたが、UpGuardはこれに異議を唱え、多数のファイルがテストデータではないと述べています。UpGuardは、Nupayが調査のために使用したIPアドレスを求めなかったことから、Nupayの主張には疑問があるとしています。
また、Amazonバケットの詳細はUpGuardの研究者だけでなく、公開クラウドストレージをインデックスするデータベースGrayhatwarfareにも掲載されていたと指摘しました。TechCrunchの質問に対し、NupayのSingh氏は、Amazon S3バケットがどのくらいの期間公開されていたかについては答えませんでした。