Крупнейший банк Индии оставил на открытом сервере данные миллионов клиентов

Индийский банк SBI забыл защитить паролем сервер с данными о многочисленных счетах клиентах и недавних транзакциях, выяснил TechCrunch.

Известно, что сервер SBI, расположенный в региональном дата-центре Мумбаи, обслуживал банковскую систему SBI Quick. С ее помощью клиенты могли дистанционно, посредством текстовых сообщений или сброшенных вызовов, запрашивать со своих телефонов баланс счетов, данные о пяти последних транзакциях, а также блокировать карты и получать сведения о кредитах.  Системой в основном пользовались клиенты с обычными телефонами, на которые, в отличие от смартфонов, нельзя было установить мобильное банковское приложение.

По информации TechCrunch,  через SBI Quick ежедневно проходило до 3 миллионов сообщений, а на соответствующем сервере хранились данные за два последних месяца. Оставленное без пароля хранилище позволяло читать массив сообщений в режиме реального времени. Также в базе можно было найти неполные номера банковских счетов.

Индийский исследователь безопасности Каран Сайни (Karan Saini) говорит, что скомпрометированные данные вполне могут быть использованы преступниками для поиска богатых клиентов банка и совершения мошеннических действий с их счетами.

Журналисты TechCrunch связались с SBI и Национальным центром защиты критической инфраструктуры Индии, который, в частности, получает отчеты об уязвимостях в финансовом секторе. Вскоре сервер банка был защищен паролем. Однако, представители SBI не ответили на письма издания с просьбой прокомментировать утечку.

По собственным данным SBI, он обслуживает по всему миру более 500 млн клиентов и 740 млн счетов.