أثار تسريب بيانات مصرفية ضخمة في الهند جدلاً واسعاً بعد أن كشف باحثون في شركة UpGuard عن وجود خادم سحابي غير مؤمَّن يستضيفه “أمازون“. وقد تبيّن أن الخادم كان متاحاً للعامة ويحتوي على أكثر من 273 ألف ملف PDF يتعلق بمعاملات مالية حساسة.
المستندات المسرّبة تضمنت معلومات شخصية شديدة الحساسية، مثل أرقام الحسابات المصرفية وتفاصيل الاتصال والمعاملات المالية. كانت هذه المستندات مخصصة للمعالجة عبر نظام مركز المقاصة الآلي الوطني (NACH)، الذي تعتمد عليه البنوك الهندية في عمليات تشمل صرف الرواتب وتسديد القروض وفواتير خدمة العملاء.
مؤسسات مالية ضمن التسريب
أوضح الباحثون أن التسريب شمل بيانات لما لا يقل عن 38 بنكاً ومؤسسة مالية متعددة. من أبرز هذه المؤسسات شركة “Aye Finance”، التي كانت قد قدمت سابقاً طلب طرح عام أولي بقيمة 171 مليون دولار، إلى جانب بنك الدولة الهندي المملوك للحكومة.
لاحقاً، كشفت شركة التكنولوجيا المالية “Nupay” أنها الجهة المسؤولة عن الثغرة الأمنية، مشيرة إلى أن الأمر نتج عن إعدادات خاطئة في خدمة Amazon S3. رغم ذلك، حاولت الشركة التقليل من خطورة التسريب، مدعية أن أغلب الملفات كانت مجرد بيانات اختبارية أو وهمية.
رفض التبريرات وتأكيد المخاطر
في المقابل، رفضت شركة UpGuard هذه التبريرات، مؤكدة أن غالبية الملفات احتوت فعلياً على بيانات مصرفية حقيقية وحساسة. وأشارت إلى أن المستندات المسرّبة لم تُكشف فقط لفريقها البحثي، بل كانت مؤرشفة أيضاً ضمن قاعدة بيانات عامة تُعرف باسم Grayhatwarfare.
ورغم سحب الوثائق لاحقاً من الإنترنت، بقيت التساؤلات مطروحة حول المدة التي ظلت خلالها الملفات مكشوفة للعموم. كما برزت مخاوف متزايدة بشأن غياب الشفافية وحول الجهة التي تتحمل المسؤولية المباشرة في حماية بيانات عملاء المؤسسات المالية.
خطوات الاستجابة والتأمين
دخلت السلطات المختصة على الخط، بما في ذلك فريق الاستجابة لطوارئ الحاسوب في الهند (CERT-In)، حيث عملت على اتخاذ الإجراءات اللازمة لتأمين البيانات فوراً. ومع ذلك، لا تزال الثغرة تذكيراً حاداً بأهمية أن تُراجع المؤسسات المالية باستمرار بروتوكولات الأمن السيبراني الخاصة بها.
