サイバーセキュリティ企業UpGuardは、インドの銀行送金に関する数十万件の機密情報が無防備なクラウドサーバーから漏洩したと発表しました。これにより、口座番号や取引金額、個人の連絡先情報が公開されました。
8月下旬、UpGuardの研究者は、Amazonのホスティングサーバー上に273,000件のPDF文書が公開されているのを発見しました。これらの文書は、インドの顧客の銀行送金に関するものでした。
公開されたファイルには、インドの銀行が給与やローン返済、公共料金の支払いなどの大量の定期的な取引を促進するために利用する中央システムである全国自動決済機構(NACH)を通じて処理される予定の完了した取引フォームが含まれていました。
このデータは少なくとも38の異なる銀行や金融機関に関連しているということです。なぜこのデータがインターネット上で公開されていたのかは不明ですが、設定ミスや人的エラーによるセキュリティの不備は珍しくありません。
誰がこのデータ漏洩を引き起こしたのか、誰がそれを保護したのか、そして個人データが公開されたことを誰が通知する責任を持つのかは依然として不明です。
UpGuardの研究者は、55,000件の文書のサンプルのうち、半数以上にインドの貸付業者Aye Financeの名前が記載されているとしています。Aye Financeは昨年171百万ドル(約265億円)のIPOを申請していました。次に多く出現したのは、インドの国営銀行であるState Bank of Indiaでした。
データが発見された後、UpGuardの研究者はAye Financeの企業、顧客サービス、および苦情処理のメールアドレスを通じて通知しました。また、NACHを管理する政府機関であるインド国家決済公社(NPCI)にも通知しました。
9月初めまでには、データは依然として公開されており、毎日数千件のファイルが公開サーバーに追加されているということです。
その後、UpGuardはインドのコンピュータ緊急対応チーム(CERT-In)に通知しました。その直後に、公開されていたデータは保護されたと研究者は述べています。しかし、セキュリティの不備について責任を取る者は誰もいないようです。
コメントを求められたNPCIのスポークスマンであるAnkur Dahiya氏は、公開されたデータは同社のシステムから来たものではないとTechCrunchに語りました。「詳細な検証とレビューにより、NPCIシステムからのNACH関連情報/記録は公開されていないことが確認されました」と、TechCrunchに送られたメールで述べています。
Aye Financeの共同創業者兼CEOであるSanjay Sharma氏は、TechCrunchからのコメント要請には応じませんでした。また、State Bank of Indiaもコメント要請には応じませんでした。