Uma grave falha de segurança em um servidor de nuvem desprotegido resultou na exposição de centenas de milhares de documentos confidenciais de transferências bancárias na Índia. Os registros vazados continham dados sensíveis como números de contas, valores de transações e informações de contato de clientes, levantando sérias preocupações sobre a privacidade e segurança financeira no país.

A descoberta foi feita por pesquisadores da empresa de segurança cibernética UpGuard no final de agosto. Eles localizaram um servidor de armazenamento hospedado pela Amazon S3 que estava configurado com acesso público, expondo cerca de 273.000 documentos PDF relacionados a transações bancárias de clientes indianos.

Os arquivos comprometidos eram formulários preenchidos destinados ao processamento pela National Automated Clearing House (NACH), um sistema essencial na Índia para gerenciar transações recorrentes de alto volume, como salários e pagamentos de serviços. Segundo os pesquisadores, os dados estavam vinculados a pelo menos 38 bancos e instituições financeiras distintas.

Após a notificação da UpGuard, os dados expostos foram eventualmente protegidos. Contudo, a origem da falha de segurança permaneceu inicialmente incerta, com Aye Finance e o órgão governamental NPCI (National Payments Corporation of India) negando a responsabilidade.

Posteriormente, a empresa indiana de fintech Nupay confirmou ser a responsável pela exposição. Em um comunicado, a Nupay atribuiu o incidente a uma "lacuna de configuração em um bucket de armazenamento do Amazon S3" e assegurou que um "conjunto limitado de registros de teste com detalhes básicos do cliente" estava armazenado, alegando que a maioria eram "arquivos fictícios ou de teste".

A empresa afirmou ainda que seus próprios registros não indicavam "acesso não autorizado, vazamento de dados, uso indevido ou impacto financeiro".

No entanto, a UpGuard contestou a versão da Nupay. A empresa de segurança relatou que apenas poucas centenas dos milhares de arquivos analisados pareciam ser dados de teste ou mencionavam o nome Nupay nos formulários.

A UpGuard também questionou a capacidade da Nupay de descartar qualquer acesso ao bucket público, visto que o endereço do armazenamento S3 havia sido indexado pelo Grayhatwarfare, um banco de dados pesquisável que cataloga armazenamentos em nuvem visíveis publicamente. O cofundador e diretor de operações da Nupay, Neeraj Singh, não especificou por quanto tempo o bucket permaneceu publicamente acessível.

A UpGuard detalhou que, de uma amostra de 55.000 documentos analisados, mais da metade citava o nome do banco indiano Aye Finance. O State Bank of India, estatal indiano, foi a segunda instituição mais frequente na amostra.

A UpGuard notificou a Aye Finance e a NPCI sobre a exposição. Após constatar que os dados continuavam expostos — com milhares de arquivos sendo adicionados diariamente —, a empresa alertou a CERT-In (equipe de resposta a emergências informáticas da Índia).

Os dados foram protegidos logo após esta última notificação, embora a janela de exposição tenha permitido que o bucket fosse indexado e possivelmente acessado por invasores ou hackers que monitoram servidores públicos.

Embora falhas de segurança por erro humano como essa não sejam raras, a exposição prolongada e a natureza altamente sensível dos dados comprometidos sublinham a necessidade de maior rigor nas configurações de segurança em infraestruturas de nuvem.

Via - TC