Jana Small Finance Bank deja la base de datos de transacciones sin garantía

jana_bankFuente de la imagen: janabank.com
  • 2.6 millones de clientes de Jana Bank han tenido sus datos confidenciales expuestos.
  • La empresa ha dejado una de sus bases de datos sin protección, accesible e incluso editable por cualquier persona.
  • La base de datos Elastic ahora se ha asegurado, pero la compañía aún no ha anunciado nada sobre el incidente.
  • El banco de “pequeñas finanzas” de Jana ha cometido un error al dejar una base de datos que contenía millones de transacciones financieras abierto para que cualquiera pueda acceder, ya que no establecieron una contraseña para ello. La base de datos fue descubierta por el investigador Jeremiah Fowler el 26 de mayo, y luego de una investigación adicional, Fowler encontró al propietario y le informó del problema. El equipo de seguridad de Jana Bank aseguró la base de datos aunque fuera durante el fin de semana, así que al menos respondieron de manera rápida y efectiva.

    Los bancos pequeños como Jana son un tipo de instituciones financieras de nicho en la India que operan para proporcionar servicios bancarios básicos, aceptan depósitos y prestan unidades de pequeños negocios, agricultores, micro / pequeñas industrias y entidades del sector no organizado que generalmente no son atendidas por bancos regulares. . Jana tiene su sede en Bengaluru y ha operado como un pequeño banco financiero desde 2015. Es la institución de microfinanzas más grande de la India, tiene un alcance nacional y es reconocida a nivel mundial.

    database_contents "width =" 696 "height =" 487 "data-srcset =" https://www.todotech20.com/wp-content/uploads/2019/07/1563969451_524_Jana-Small-Finance-Bank-deja-la-base-de-datos-de.png 1024w, https: // cdn. technadu.com/wp-content/uploads/2019/07/database_contents-300x210.png 300w, https://cdn.technadu.com/wp-content/uploads/2019/07/database_contents-768x537.png 768w, https: //cdn.technadu.com/wp-content/uploads/2019/07/database_contents-200x140.png 200w, https://cdn.technadu.com/wp-content/uploads/2019/07/database_contents-100x70.png 100w, https://cdn.technadu.com/wp-content/uploads/2019/07/database_contents-696x487.png 696w, https://cdn.technadu.com/wp-content/uploads/2019/07/database_contents -1068x747.png 1068w, https://cdn.technadu.com/wp-content/uploads/2019/07/database_contents-601x420.png 601w, https://cdn.technadu.com/wp-content/uploads/2019 /07/database_contents.png 1364w "tamaños =" (ancho máximo: 696px) 100vw, 696pxFuente de la imagen: securitydiscovery.com

    Dicho todo esto, la exposición es significativa tanto cualitativamente como cuantitativamente. En general, el número de usuarios expuestos y registros de transacciones es 2.6 millón. El tipo de datos que estaban contenidos en la base de datos Elastic no protegida incluye la PII de los clientes del banco, sus identificaciones de cartera, nombres de usuario, correos electrónicos, datos de cuentas y transacciones, registros del historial completo, direcciones IP y todo el "KYC" (Conozca a su cliente) paquete. El KYC es un conjunto de datos de verificación que exige la ley de la India para todos los bancos e incluye el número de Aadhaar, la identificación del votante, la licencia de conducir, la tarjeta PAN y el pasaporte.

    database_entry "width =" 696 "height =" 328 "data-srcset =" https://www.todotech20.com/wp-content/uploads/2019/07/1563969452_808_Jana-Small-Finance-Bank-deja-la-base-de-datos-de.png 1024w, https: // cdn. technadu.com/wp-content/uploads/2019/07/database_entry-300x142.png 300w, https://cdn.technadu.com/wp-content/uploads/2019/07/database_entry-768x362.png 768w, https: //cdn.technadu.com/wp-content/uploads/2019/07/database_entry-200x94.png 200w, https://cdn.technadu.com/wp-content/uploads/2019/07/database_entry-696x328.png 696w, https://cdn.technadu.com/wp-content/uploads/2019/07/database_entry-1068x504.png 1068w, https://cdn.technadu.com/wp-content/uploads/2019/07/database_entry -890x420.png 890w "tamaños =" (ancho máximo: 696px) 100vw, 696pxFuente de la imagen: securitydiscovery.com

    Como la base de datos no estaba protegida de ninguna manera, los atacantes podían descargar, editar o eliminar los datos contenidos sin necesidad de credenciales administrativas. Sin embargo, el investigador no encontró signos de que esto haya sucedido. Además, no está claro si Jana Bank ha enviado o no avisos de incumplimiento a los clientes afectados, y no hay indicios de que algo malo haya ocurrido en sus redes sociales y canales de comunicación oficiales. El proyecto de ley de protección de datos personales que se convirtió en ley india en 2018 dicta que están obligados a informar tanto a las personas afectadas como a las autoridades de la India. Según Jana, han servido más de 8 millones de personas, por lo que esta infracción afectó a una parte más pequeña, con los números exactos que permanecen desconocidos en este momento (podría haber entradas duplicadas en la base de datos).

    ¿Has recibido un aviso de Jana Bank? Compártalo con nosotros en los comentarios a continuación, o en nuestras redes sociales, en Facebook y Twitter.