Uma séria falha de segurança em um servidor de nuvem desprotegido resultou na exposição de cerca de 273 mil documentos bancários confidenciais na Índia, incluindo informações sensíveis como números de contas, valores de transações e dados de contato de clientes. O incidente levanta preocupações significativas sobre a proteção de dados financeiros no país.
A descoberta foi realizada por pesquisadores da UpGuard no final de agosto. Eles identificaram um bucket de armazenamento Amazon S3 configurado com acesso público, expondo documentos PDF relacionados a transações gerenciadas pelo sistema National Automated Clearing House (NACH), responsável por pagamentos recorrentes de alto volume, como salários e serviços. Os arquivos envolviam pelo menos 38 bancos e instituições financeiras diferentes.
Após a notificação da UpGuard, os dados foram temporariamente protegidos. Inicialmente, a responsabilidade pelo vazamento não estava clara, com Aye Finance e o órgão governamental NPCI (National Payments Corporation of India) negando envolvimento. Posteriormente, a fintech Nupay assumiu a responsabilidade, citando uma “lacuna de configuração em um bucket S3” e alegando que a maioria dos registros era de teste ou fictícia.
Contudo, a UpGuard contestou a versão da Nupay, apontando que apenas uma pequena fração dos arquivos parecia ser de teste. O bucket havia sido indexado pelo Grayhatwarfare, banco de dados de armazenamentos em nuvem públicos, o que significa que os documentos puderam ser acessados por terceiros.
De acordo com a UpGuard, em uma amostra de 55 mil documentos, mais da metade citava o banco Aye Finance, seguido pelo State Bank of India. A empresa notificou tanto a Aye Finance quanto a NPCI, e, após constatar que o bucket permanecia vulnerável, alertou a CERT-In (equipe de resposta a emergências informáticas da Índia).
O incidente ressalta que falhas de segurança em nuvem, muitas vezes decorrentes de erro humano, podem ter impactos graves quando envolvem dados financeiros sensíveis. A exposição prolongada reforça a necessidade de maior rigor na configuração de servidores e proteção de informações bancárias na Índia.
