Ribuan Data Transfer Bank India Terekspos Online Akibat Kelalaian Keamanan Siber

Sebuah insiden kebocoran data yang masif dari server cloud tak terenkripsi telah mengungkap ratusan ribu dokumen transfer bank sensitif di India. Paparan ini mencakup rincian penting seperti nomor rekening, jumlah transaksi, dan informasi kontak individu, menimbulkan kekhawatiran serius tentang keamanan siber dan perlindungan data pribadi.

Penemuan dan Cakupan Kebocoran Data Sensitif

Pada akhir Agustus, para peneliti dari firma keamanan siber UpGuard menemukan sebuah server penyimpanan yang di-hosting oleh Amazon dan dapat diakses secara publik. Server ini berisi 273.000 dokumen PDF yang berkaitan dengan transfer bank nasabah India.

Jenis Data yang Terpapar

File-file yang bocor tersebut adalah formulir transaksi yang telah selesai, yang dimaksudkan untuk diproses melalui National Automated Clearing House (NACH). NACH adalah sistem terpusat yang digunakan oleh bank-bank di India untuk memfasilitasi transaksi berulang bervolume tinggi, seperti pembayaran gaji, cicilan pinjaman, dan tagihan utilitas. Ini berarti data yang bocor sangat sensitif dan berpotensi disalahgunakan.

Keterlibatan Berbagai Institusi Keuangan

Para peneliti UpGuard mengungkapkan kepada TechCrunch bahwa data yang terekspos ini terkait dengan setidaknya 38 bank dan institusi keuangan berbeda. Dalam sampel 55.000 dokumen yang mereka teliti, lebih dari separuhnya menyebutkan nama pemberi pinjaman India, Aye Finance, yang tahun lalu mengajukan IPO senilai $171 juta. State Bank of India, bank milik negara India, menjadi institusi berikutnya yang paling sering muncul dalam dokumen sampel, menurut para peneliti.

Penutupan Celah dan Identifikasi Sumber Kebocoran

Data yang terekspos tersebut akhirnya diamankan. Namun, pada awalnya, para peneliti kesulitan mengidentifikasi sumber pasti kebocoran. Setelah publikasi artikel ini, perusahaan fintech India, Nupay, menghubungi TechCrunch melalui email untuk mengonfirmasi bahwa mereka telah "mengatasi celah konfigurasi dalam bucket penyimpanan Amazon S3" yang berisi formulir transfer bank tersebut.

Penyebab dan Tanggapan Awal

Tidak jelas mengapa data tersebut dibiarkan terekspos secara publik dan dapat diakses oleh internet, meskipun kelalaian keamanan semacam ini tidak jarang terjadi akibat kesalahan manusia. UpGuard telah memberitahu Aye Finance, National Payments Corporation of India (NPCI) – badan pemerintah yang mengelola NACH, dan tim tanggap darurat komputer India (CERT-In) tentang paparan data ini. Data akhirnya diamankan tak lama setelah peringatan terakhir.

Nupay Menyalahkan "Celah Konfigurasi"

Neeraj Singh, salah satu pendiri dan chief operating officer Nupay, menyatakan kepada TechCrunch bahwa "sejumlah terbatas catatan uji dengan rincian dasar pelanggan" disimpan dalam bucket Amazon S3 dan mengklaim "mayoritas adalah file dummy atau uji." Perusahaan juga menegaskan bahwa log hosting Amazon mereka "mengonfirmasi tidak ada akses tidak sah, kebocoran data, penyalahgunaan, atau dampak finansial."

Klaim yang Diperdebatkan dan Implikasi Lebih Lanjut

Klaim Nupay ini dibantah oleh UpGuard. Para peneliti UpGuard menyatakan bahwa hanya beberapa ratus dari ribuan file yang mereka sampel yang berisi data uji atau mencantumkan nama Nupay pada formulir. UpGuard juga mempertanyakan bagaimana log cloud Nupay dapat secara mutlak meniadakan akses apa pun ke bucket Amazon S3 yang saat itu bersifat publik, mengingat Nupay tidak meminta alamat IP yang digunakan UpGuard untuk menyelidiki paparan data tersebut.

Paparan yang Lebih Luas

Selain itu, UpGuard mencatat bahwa rincian bucket Amazon tersebut tidak hanya terbatas pada para penelitinya. Alamat bucket Amazon S3 yang publik tersebut telah diindeks oleh Grayhatwarfare, sebuah basis data yang dapat dicari dan mengindeks penyimpanan cloud yang terlihat publik. Hal ini menunjukkan potensi akses yang jauh lebih luas daripada yang disadari atau diakui.

Ketika ditanya oleh TechCrunch, Singh dari Nupay tidak segera memberikan informasi berapa lama bucket Amazon S3 tersebut dapat diakses secara publik di web. Insiden ini menyoroti pentingnya konfigurasi keamanan cloud yang ketat dan pengawasan terus-menerus untuk melindungi data sensitif pelanggan.