インド：アマゾンのプラットフォームで27万件以上の銀行取引が漏洩

サイバーセキュリティ企業アップガードの研究者らは8月下旬、インド人顧客の銀行取引に関する27万3000件のPDFファイルを含んだ、公開されているアマゾンのサーバーを発見したと発表した。このファイルには口座番号、取引額、個人の連絡先情報などが含まれている。

これらのファイルには、インドの銀行が給与支払い、ローン支払い、公共料金など大量の定期取引を処理するために使用する集中型プラットフォームである全国自動決済機関（NACH）を通じて処理された完了済みの取引フォームが含まれています。

UpGuardによると、漏洩したデータには少なくとも38の銀行や金融機関が関与していた。なぜデータがインターネット上で公開されていたのかは不明だが、このようなインシデントは珍しくなく、設定ミスや人為的ミスが原因となることが多い。

さらに大きな問題は、漏洩の原因が誰なのか、それを修復する責任は誰にあるか、そして個人情報が影響を受けた人々に通知する義務は誰にあるかが依然として不明であることだ。

アップガードは調査結果を発表する報告書の中で、調査対象となった5万5000件の文書のうち、半数以上に、昨年1億7100万ドルのIPOを申請した金融会社「アイ・ファイナンス」の名称が含まれていたと述べた。流出した文書の中で2番目に多く言及された名称はインドステイト銀行（SBI）だった。

発見後、UpGuard はさまざまな電子メール アドレスを通じて Aye Finance に警告を送信し、NACH システムの規制機関である National Payments Corporation of India (NPCI) にも通知しました。

しかし、9月初旬になってもデータは依然として無防備な状態にあり、毎日数千もの新しいファイルがサーバーにアップロードされていました。UpGuardはその後、インドのコンピュータ緊急対応チーム（CERT-In）に連絡を取りました。TechCrunchは研究者の話を引用し、データはその後まもなく保護されたと報じています。

しかし、責任の問題は未解決のままである。

NPCIの広報担当者、アンクル・ダヒヤ氏は、電子メールでTechCrunchに対し、漏洩したデータはNPCIのシステムから発生したものではないと語った。「詳細な検証と検討のプロセスにより、NPCIのシステム内のNACH情報/記録に関連するデータは漏洩または侵害されていないことが確認されました」と彼は述べた。

一方、Aye Financeの共同創業者兼CEOであるサンジェイ・シャルマ氏はコメント要請に応じなかった。インドステイト銀行もTechCrunchの回答要請に対し沈黙を守った。

出典: https://vtcnews.vn/an-do-hon-270-nghin-giao-dich-ngan-hang-bi-ro-ri-tren-nen-tang-amazon-ar967586.html