Hindistan’ın finansal teknoloji dünyasında büyük bir güvenlik alarmı yaşanıyor. Kötü yapılandırılmış bir bulut sunucusu (Amazon S3) nedeniyle, yüz binlerce hassas banka transfer belgesi internete sızdı. Bu belgeler, hesap numaraları, bireysel iletişim bilgileri ve devasa işlem rakamları gibi kritik kişisel verileri içeriyordu. Bu geniş çaplı güvenlik ihlali ve banka transfer kayıtlarındaki büyük veri sızıntısının detaylarını buradan inceleyebilirsiniz.
Sızıntının boyutu ve içeriği, Hindistan'daki dijital ödeme sistemlerinin güvenliği hakkında ciddi soruları beraberinde getirdi.
Sızıntının Boyutu ve Kapsamı: NACH Belgeleri Tehlikede
Siber güvenlik firması UpGuard’ın araştırmacıları, Ağustos ayı sonlarında yaptıkları keşifte, Hindistanlı müşterilere ait 273.000 adet PDF formatında banka transfer belgesini barındıran halka açık bir Amazon sunucusu tespit etti.
Sızan dosyalar, Hindistan’daki bankalar tarafından maaş ödemeleri, kredi geri ödemeleri ve fatura tahsilatları gibi yüksek hacimli ve tekrar eden işlemler için kullanılan merkezi bir sistem olan Ulusal Otomatik Takas Kurumu (NACH) aracılığıyla işlenmesi gereken tamamlanmış işlem formlarıydı. Bu durum, veri hassasiyetinin ne kadar yüksek olduğunu gösteriyor.
- Dosya Sayısı: 273.000 adet hassas PDF belgesi.
- İçerik: Hesap numaraları, işlem tutarları ve bireylerin iletişim bilgileri.
- Etkilenen Kurumlar: En az 38 farklı banka ve finans kuruluşu. İncelenen örneklemde, Hindistan'ın devlete ait en büyük bankası olan State Bank of India'nın adı da ikinci sırada geçmektedir.
- Örnek İnceleme: UpGuard'ın incelediği 55.000 belgenin yarısından fazlasında, geçen yıl 171 milyon dolarlık halka arz başvurusunda bulunan Hintli kredi kuruluşu Aye Finance'in adı geçiyordu.
Nupay Sorumluluğu Kabul Etti, Ancak Tartışma Devam Ediyor
Veri sızıntısının tespit edilmesinin ardından UpGuard, sırasıyla Aye Finance, Hindistan Ulusal Ödemeler Kurumu (NPCI) ve en son olarak Hindistan Bilgisayar Acil Müdahale Ekibi (CERT-In) ile iletişime geçti. CERT-In’in uyarısından kısa bir süre sonra açıkta kalan veriler koruma altına alındı.
Başlangıçta Aye Finance ve NPCI dahil olmak üzere hiçbir kurum sızıntının kaynağı olduğunu kabul etmezken; özellikle NPCI sözcüsü Ankur Dahiya, verilerin kendi sistemlerinden gelmediğini detaylı incelemelerin doğruladığını belirtmişti. State Bank of India gibi büyük kurumlar ise konuyla ilgili yorum yapmaktan kaçınırken, haberin yayınlanmasının ardından Hintli fintech şirketi Nupay, sızıntının kendilerinden kaynaklandığını doğruladı. Şirket, bunun bir “Amazon S3 depolama kovasındaki yapılandırma boşluğundan” kaynaklandığını belirtti.
Çelişen İddialar: 'Test Verisi' mi, 'Gerçek Veri' mi?
Nupay Eş Kurucusu ve COO’su Neeraj Singh, sızan verilerin büyük bir çoğunluğunun “temel müşteri detaylarına sahip sınırlı sayıda test kaydı” olduğunu ve bunların çoğunun ‘sahte veya test dosyaları’ olduğunu iddia etti. Ayrıca, şirket loglarının “yetkisiz erişim, veri sızıntısı, kötüye kullanım veya finansal etkinin olmadığını” doğruladığını öne sürdü.
Şeytanın Avukatı: Bu tür durumlarda şirketlerin hasarı en aza indirmek için veriyi ‘test’ olarak nitelendirmesi sıkça görülen bir savunma mekanizmasıdır. Ancak siber güvenlik uzmanları, halka açık kalan bu kadar büyük bir veri setinin yetkisiz erişime kapalı kaldığının kesin olarak iddia edilmesinin imkansız olduğunu belirtiyor.
UpGuard araştırmacıları ise Nupay’ın bu iddialarını reddederek, inceledikleri binlerce dosyanın sadece birkaç yüz tanesinin test verisi içerdiğini veya Nupay adını taşıdığını belirtti. Dahası, UpGuard, Nupay’ın o an halka açık olan Amazon S3 kovasına kimlerin eriştiğini, kendi IP adreslerini istemeden nasıl kesin olarak belirleyebildiğini sorguladı. Araştırmacılar, Amazon S3 kovasının adresinin, halka açık depolamaları indeksleyen Grayhatwarfare gibi platformlar tarafından zaten dizine eklendiğini ve bu durumun tehlikenin sadece kendileriyle sınırlı olmadığını gösterdiğini ekledi.
Siber Güvenlik Dersleri ve Yapılandırma Hataları
Bu olay, bulut bilişim hizmetlerinin yaygınlaşmasına rağmen, basit insan hataları veya 'yapılandırma boşlukları' nedeniyle ne kadar büyük veri ihlallerinin meydana gelebileceğini bir kez daha gözler önüne seriyor. Özellikle finansal verilere erişimin bu denli kolaylaşması, hem kurumsal itibara hem de müşteri güvenine onarılması zor zararlar verebilir.
Finansal teknoloji dışındaki alanlarda bile, hızlı büyüme baskısının güvenlik zafiyetlerine yol açtığı görülmektedir. Örneğin, kısa sürede viral olan ve kullanıcılara çağrı kayıtlarını yapay zeka şirketlerine satarak para kazanma vaadinde bulunan Neon uygulaması, sunucu tarafındaki yetkilendirme kontrollerinin yetersizliği nedeniyle on binlerce kullanıcının telefon numaralarını, çağrı kayıtlarını ve görüşme transkriptlerini istenmeyen kişilere ifşa etti. Bu durum, uygulamanın faaliyetlerini durdurmasına yol açtı. Bu büyük skandalın detayları hakkında daha fazla bilgi edinmek için Neon Uygulaması Veri Sızıntısı Skandalıyla Karardı: Kullanıcı Verileri Risk Altında başlıklı haberimizi okuyabilirsiniz.
Fintech şirketlerinin, hızlı büyüme baskısı altında dahi, veri güvenliği protokollerini en üst düzeyde tutması ve özellikle bulut depolama ayarlarını düzenli olarak denetlemesi zorunluluktur.
***
Kaynak: Haberin hazırlanmasında, TechCrunch’ın bu kritik konuya dair yaptığı detaylı araştırmadan yararlanılmıştır. TechCrunch: Thousands of Indian bank transfer records found spilling online after security lapse
