Сведения о счетах клиентов крупнейшего индийского банка мог получить кто угодно
В открытом доступе был обнаружен незащищенный сервер, используемый системой связи между банком и его клиентами.
Крупнейший государственный банк в Индии State Bank of India (SBI) принял меры по обеспечению безопасности незащищенного сервера, позволявшего любому желающему получить доступ к финансовой информации миллионов клиентов SBI. На сервере, расположенном в дата-центре в Мумбаи, хранились данные за два месяца из SBI Quick – системы связи между банком и его клиентами. Система позволяет пользователям с помощью текстовых сообщений или телефонных звонков запрашивать данные о состоянии своих счетов. SBI Quick удобна тем, кто не пользуется смартфонами или у кого ограничен выход в интернет.
Как оказалось, сервер SBI не был защищен паролем, и доступ к его содержимому мог получить кто угодно, пишет TechCrunch. Неизвестно, как долго сервер оставался открытым, однако этого времени хватило на то, чтобы его обнаружил исследователь безопасности, пожелавший остаться анонимным.
С помощью привязанного к банковскому счету ключевого слова (например, «BAL») SBI Quick идентифицирует зарегистрированный номер телефона пользователя и отправляет на него сведения о балансе. SBI Quick также может использоваться для получения данных по пяти последним транзакциям, блокировки банковской карты, а также для получения информации о кредитах на машину и жилье.
Незащищенная база данных позволяла в режиме реального времени просматривать все оправляемые пользователям текстовые сообщения, в том числе их номера телефонов, данные по балансу и пяти последним транзакциям. После того, как TechCrunch связался с банком, сервер был защищен паролем.