Паспорт, счёт, сумма — всё наружу: ошибка в облаке поставила под удар 38 банков

Исследователи в очередной раз доказали: ошибка в настройке облака может привести к масштабной утечке данных. В Индии в открытый доступ попали сотни тысяч документов о банковских переводах — с номерами счетов, суммами транзакций и персональными данными клиентов.

Что произошло

В конце августа специалисты компании UpGuard обнаружили общедоступный сервер Amazon S3 с 273 000 PDF-документов, связанных с системой NACH (Национальная автоматизированная клиринговая палата). Это централизованный механизм, через который проходят массовые платежи: зарплаты, кредиты, коммунальные услуги.

Файлы содержали заполненные формы переводов, привязанные как минимум к 38 банкам и финучреждениям, включая Aye Finance и State Bank of India.

Несмотря на уведомления компаний и Национальной платёжной корпорации Индии (NPCI), данные оставались уязвимыми вплоть до сентября — и ежедневно пополнялись тысячами новых файлов.

Кто виноват

После публикации расследования финтех-компания Nupay признала, что проблема возникла из-за "пробела в конфигурации контейнера Amazon S3".

Соучредитель и COO компании Нирадж Сингх заявил:
"В контейнере хранился ограниченный набор тестовых записей с основными данными о клиентах. Большинство из них были фиктивными или тестовыми файлами".

При этом Nupay подчеркнула, что их журналы подтверждают отсутствие несанкционированного доступа и финансовых последствий.

Однако в UpGuard возразили: лишь несколько сотен файлов имели признаки тестовых, а публичный контейнер был проиндексирован сторонними сервисами (например, Grayhatwarfare), что исключает контроль со стороны Nupay.

Сравнение: позиции сторон

Ошибка → Последствие → Альтернатива

• Ошибка: неправильная конфигурация облачного хранилища.
  Последствие: открытый доступ к тысячам файлов.
  Альтернатива: регулярные аудиты и система оповещений о публичных контейнерах.

• Ошибка: задержка с реакцией после уведомлений исследователей.
  Последствие: рост числа утекших документов.
  Альтернатива: мгновенное закрытие доступа и официальное признание проблемы.

• Ошибка: недооценка значимости облачных журналов.
  Последствие: спор между исследователями и владельцем сервера.
  Альтернатива: независимая проверка и верификация фактов.

А что если…

Если подобные утечки будут повторяться, это может подорвать доверие к финтех-экосистеме Индии. Особенно учитывая, что рынок активно растёт, а многие банки интегрируют NACH для массовых платежей. В худшем случае регуляторы могут ужесточить правила и обязать компании хранить данные исключительно на локальных серверах с сертификацией.

Плюсы и минусы облачных хранилищ

FAQ

Какие данные попали в открытый доступ?
Формы транзакций с номерами счетов, суммами переводов и контактными данными клиентов.

Кто несёт ответственность?
Финтех-компания Nupay признала вину в некорректной конфигурации хранилища, хотя спорит с исследователями о масштабах утечки.

Какие банки затронуты?
По данным UpGuard, как минимум 38 учреждений, включая Aye Finance и State Bank of India.

Мифы и правда

• Миф: утечка касалась только фиктивных данных.
  Правда: в тысячах файлов содержались реальные сведения о клиентах.

• Миф: журналы облака полностью защищают от обвинений.
  Правда: если контейнер публичный и проиндексирован, факт доступа подтвердить сложно.

• Миф: такие сбои редкость.
  Правда: ошибки конфигурации Amazon S3 встречаются регулярно по всему миру.

3 интересных факта

• Aye Finance, чьи данные фигурировали в документах, готовилась к IPO на $171 млн.
• Grayhatwarfare — сервис, индексирующий открытые облачные хранилища, помог подтвердить уязвимость.
• Система NACH — ключевой элемент индийской банковской инфраструктуры для массовых платежей.

Исторический контекст

1. 2010-е — рост использования Amazon S3 и первых инцидентов с открытыми контейнерами.

2. 2020-е — массовые утечки из-за человеческих ошибок конфигурации.

3. 2024 — Aye Finance подаёт заявку на IPO.

4. Август-сентябрь 2025 — утечка 273 000 документов через сервер Nupay.