Công ty UpGuard phát hiện máy chủ Amazon công khai chứa 273.000 tệp PDF lộ dữ liệu giao dịch ngân hàng của khách hàng Ấn Độ.
Các nhà nghiên cứu thuộc công ty an ninh mạng UpGuard cho biết vào cuối tháng 8, họ đã phát hiện một máy chủ lưu trữ trên nền tảng Amazon công khai, chứa 273.000 tệp PDF liên quan đến giao dịch ngân hàng của khách hàng Ấn Độ. Theo đó, các tài liệu này bao gồm số tài khoản, giá trị giao dịch và thông tin liên lạc cá nhân của khách hàng.
Ngân hàng Nhà nước Ấn Độ (SBI) là tên xuất hiện nhiều thứ hai trong các tài liệu bị lộ. (Ảnh: Reuters)
Những tệp này bao gồm các biểu mẫu giao dịch đã hoàn tất, được xử lý qua Hệ thống Thanh toán Tự động Quốc gia (NACH) – nền tảng tập trung do các ngân hàng Ấn Độ sử dụng để thực hiện khối lượng lớn giao dịch định kỳ như trả lương, thanh toán khoản vay hay hóa đơn tiện ích.
Theo UpGuard, dữ liệu bị rò rỉ có liên quan đến ít nhất 38 ngân hàng và tổ chức tài chính khác nhau. Nguyên nhân vì sao dữ liệu lại bị để công khai trên Internet chưa rõ ràng, nhưng sự cố kiểu này không hiếm, thường do lỗi cấu hình hoặc sai sót con người.
Vấn đề lớn hơn là hiện chưa rõ ai đã gây ra vụ rò rỉ, ai chịu trách nhiệm khắc phục, cũng như ai có nghĩa vụ thông báo đến những người có dữ liệu cá nhân bị ảnh hưởng.
Trong báo cáo công bố phát hiện, UpGuard cho biết trong mẫu 55.000 tài liệu được kiểm tra, hơn một nửa có tên Aye Finance – công ty tài chính từng nộp hồ sơ IPO trị giá 171 triệu USD năm ngoái. Ngân hàng Nhà nước Ấn Độ (SBI) là tên xuất hiện nhiều thứ hai trong các tài liệu bị lộ.
Sau khi phát hiện, UpGuard đã gửi cảnh báo cho Aye Finance qua nhiều địa chỉ email khác nhau, đồng thời thông báo cho Tổng công ty Thanh toán Quốc gia Ấn Độ (NPCI) – cơ quan quản lý hệ thống NACH.
Tuy nhiên, đến đầu tháng 9, dữ liệu vẫn tiếp tục bị công khai, và thậm chí mỗi ngày còn có thêm hàng nghìn tệp mới được tải lên máy chủ này. Sau đó, UpGuard tiếp tục liên hệ với Đội ứng cứu khẩn cấp máy tính Ấn Độ (CERT-In). Không lâu sau, dữ liệu đã được bảo mật, theo TechCrunch dẫn lời các nhà nghiên cứu.
Song, vấn đề trách nhiệm vẫn bị bỏ ngỏ.
Người phát ngôn NPCI, ông Ankur Dahiya, trả lời TechCrunch qua email rằng dữ liệu bị lộ không xuất phát từ hệ thống của NPCI: “Một quá trình xác minh và rà soát chi tiết đã khẳng định không có dữ liệu nào liên quan đến thông tin/hồ sơ của NACH trong hệ thống NPCI bị rò rỉ hay xâm phạm,” ông nói.
Trong khi đó, đồng sáng lập kiêm CEO Aye Finance – ông Sanjay Sharma – không trả lời yêu cầu bình luận. Ngân hàng Nhà nước Ấn Độ cũng im lặng trước đề nghị phản hồi từ TechCrunch.
