Η State Bank of India (SBI), μία από τις μεγαλύτερες τράπεζες της Ινδίας, άφησε εκτεθειμένα εκατομμύρια οικονομικά δεδομένα που αφορούσαν πελάτες της, σύμφωνα με την έκθεση της TechCrunch.
Ο server με έδρα το Μουμπάι, ο οποίος τώρα έχει ασφαλιστεί, αποθήκευε δεδομένα χρηστών πάνω από δύο μήνες, συμπεριλαμβανομένων τραπεζικών υπολοίπων, ιστορικού συναλλαγών και πολλών άλλων.
Η έκθεση αναφέρει ότι τα δεδομένα αντλήθηκαν από το “SBI Quick” – μία από τις δωρεάν υπηρεσίες της τράπεζας, που επιτρέπει στους πελάτες να βλέπουν το υπόλοιπο του λογαριασμού τους, τις δηλώσεις συναλλαγών και πολλά άλλα, στέλνοντας SMS με προκαθορισμένες λέξεις-κλειδιά.
Για παράδειγμα, αν θέλει κάποιος να κάνει ερώτηση για το υπόλοιπό του, μπορεί να χρησιμοποιήσει τη συγκεκριμένη υπηρεσία στέλνοντας σε μήνυμα τη λέξη «BAL» σε έναν συγκεκριμένο αριθμό. Σε απάντηση, ο server θα δείξει το συνολικό υπόλοιπο του τραπεζικού λογαριασμού που σχετίζεται με τον αριθμό.
Λόγω της μη ασφαλούς βάσης δεδομένων, η ομάδα TechCrunch κατάφερε να δει τα μηνύματα που στέλνονταν σε πελάτες μέσω του server, σε πραγματικό χρόνο. Τα δεδομένα που μπορούσαν να δουν, περιελάμβαναν αριθμούς τηλεφώνου, τραπεζικά υπόλοιπα και πρόσφατες συναλλαγές.
Για να επαληθεύσει εάν η βάση δεδομένων στην πραγματικότητα φιλοξενεί δεδομένα πελατών της SBI – η ομάδα ζήτησε από τον ερευνητή ασφαλείας Karan Saini, που εργάζεται στην Ινδία, να στείλει ένα μήνυμα μέσω της υπηρεσίας «SBI Quick».
Μέσα σε λίγα δευτερόλεπτα, ο αριθμός τηλεφώνου του μαζί με το μήνυμα που έλαβε εντοπίστηκε από την ομάδα.
Δεν είναι σαφές πόσο χρονικό διάστημα ο server ήταν απροστάτευτος χωρίς κανένα κωδικό πρόσβασης, αλλά οποιοδήποτε άτομο με τεχνολογικές γνώσεις θα ήξερε πού να κοιτάξει και θα μπορούσε να έχει πρόσβαση σε δεδομένα εκατομμυρίων κατόχων τραπεζικών λογαριασμών της κρατικής τράπεζας της Ινδίας.
Πρόκειται πιθανώς για μία από τις μεγαλύτερες διαρροές δεδομένων των πολιτών της Ινδίας μετά τη διαρροή δεδομένων του Aadhaar – όπου εκτέθηκαν δεδομένα περισσότερων από 1,2 δισεκατομμυρίων χρηστών, στις αρχές του 2018.
, μία από τις μεγαλύτερες τράπεζες της Ινδίας, άφησε εκτεθειμένα εκατομμύρια οικονομικά δεδομένα που αφορούσαν){kind=link}