El mayor banco de la India, el SBI, filtró datos de cuentas de millones de clientes.

El mayor banco de la India, el SBI, filtró datos de cuentas de millones de clientes.

by

in

El banco más grande de la India ha asegurado un servidor no protegido que le permite a cualquier persona acceder a información financiera de millones de sus clientes, como saldos bancarios y transacciones recientes.

El servidor, alojado en un centro de datos regional con base en Mumbai, almacenó dos meses de datos de SBI Quick, un mensaje de texto y un sistema basado en llamadas que se utiliza para solicitar información básica sobre sus cuentas bancarias por parte de clientes del Banco del Estado de India, de propiedad gubernamental. (SBI), el banco más grande del país y una empresa altamente calificada en Fortune 500.

Pero el banco no había protegido el servidor con una contraseña, lo que permitía a cualquiera que supiera dónde buscar acceder a los datos de la información de millones de clientes.

No se sabe por cuánto tiempo estuvo abierto el servidor, pero sí lo suficiente como para que lo descubriera un investigador de seguridad, quien le dijo a TechCrunch sobre la filtración, pero no quería que lo llamaran por la historia.

SBI Quick les permite a los clientes bancarios de SBI enviar un mensaje de texto al banco o hacer una llamada perdida, para recuperar la información mediante un mensaje de texto sobre sus finanzas y cuentas. Es ideal para millones de clientes del gigante bancario que no usan teléfonos inteligentes o tienen un servicio de datos limitado. Al usar palabras clave predefinidas, como "BAL" para el saldo actual de un cliente, el servicio reconoce el número de teléfono registrado del cliente y devolverá el monto actual en la cuenta bancaria de ese cliente. El sistema también se puede utilizar para devolver las últimas cinco transacciones, bloquear una tarjeta de cajero automático y realizar consultas sobre préstamos para viviendas o automóviles.

Fue el sistema de mensajes de texto de back-end el que estuvo expuesto, TechCrunch puede confirmar y almacenar millones de mensajes de texto cada día.

Un ejemplo redactado de parte de la información bancaria y crediticia que se encuentra en la base de datos. (Imagen: TechCrunch)

La base de datos sin contraseña nos permitió ver todos los mensajes de texto que se envían a los clientes en tiempo real, incluidos sus números de teléfono, saldos bancarios y transacciones recientes. La base de datos también contenía el número de cuenta bancaria parcial del cliente. Algunos dirían cuándo se había cobrado un cheque, y muchos de los mensajes enviados por el banco incluían un enlace para descargar la aplicación YONO de SBI para la banca por Internet.

El banco envió cerca de tres millones de mensajes de texto solo el lunes.

La base de datos también tenía archivos diarios de millones de mensajes de texto cada uno, que se remontan a diciembre, lo que permite a cualquier persona con acceso una vista detallada de las finanzas de millones de clientes.

Verificamos los datos preguntando a un investigador de seguridad con sede en India Karan Saini Para enviar un mensaje de texto al sistema. En unos segundos, encontramos su número de teléfono en la base de datos, incluido el mensaje de texto que recibió.

"Los datos disponibles podrían usarse para perfilar y apuntar a personas que se sabe que tienen saldos de cuenta altos", dijo Saini en un mensaje a TechCrunch. Saini encontró previamente una fuga de datos en Aadhaar de India, la base de datos de identidad nacional del país, y un error de bypass de dos factores en la aplicación de viajes compartidos de Uber.

Saini dijo que conocer un número de teléfono "podría usarse para ayudar a los ataques de ingeniería social, que es uno de los vectores de ataque más comunes aquí con respecto al fraude financiero", dijo.

SBI reclama más de 500 millones de clientes en todo el mundo con 740 millones de cuentas.

Apenas unos días antes, el SBI acusó a la autoridad de Aadhaar, UIDAI, de manejar mal los datos de los ciudadanos que permitieron la creación de tarjetas de identidad falsas de Aadhaar, a pesar de los numerosos fallos de seguridad y el uso indebido del sistema. UIDAI negó el informe y dijo que no había "ninguna violación de seguridad" de su sistema. (UIDAI utiliza a menudo el término "noticias falsas" para describir la cobertura no le gusta.)

TechCrunch se acercó al OSE y al Centro de Protección de Infraestructura de Información Crítica de la India, que recibe informes de vulnerabilidad para el sector bancario. La base de datos se aseguró durante la noche.

A pesar de varios correos electrónicos, SBI no comentó antes de la publicación.


Source link