در 21 آوریل، CyberNews گزارشی منتشر کرد مبنی بر اینکه بیش از 3.6 میلیون فایل ICICI بانک شامل اطلاعات بانک و مشتریانش از یک سطل ذخیره سازی ابری در دسترس عموم که توسط DigitalOcean، یک ارائه دهنده خدمات ابری مستقر در نیویورک مدیریت می شود، به بیرون درز کرد.

بر اساس این نشریه آنلاین مبتنی بر تحقیق، نشت اطلاعات ادعا شده ناشی از پیکربندی نادرست سیستم های بانکی است که رکوردهای 35 میلیونی را فاش می کند.

بانک ICICI در بیانیه 4 ماده‌ای خود به‌طور قاطع این حادثه نقض داده‌ها را رد می‌کند. محققان به ETCISO می‌گویند که اگرچه داده‌های لو رفته KYC قانونی به نظر می‌رسند، اما نمی‌توان آن را به اشتباه توسط بانک بزرگ نسبت داد.

کشف

اطلاعات فاش شده شامل صورتحساب بانکی، شماره کارت اعتباری، اطلاعات KYC – نام، تاریخ تولد، آدرس، شماره تلفن، شناسه ایمیل – و اسناد شناسایی شخصی مانند اطلاعات کارت PAN و کپی پاسپورت اسکن شده است.

علاوه بر داده‌های مشتریان، محققان دریافتند که رزومه‌های کارمندان فعلی و بالقوه در انبار داده‌های لو رفته پیدا شده است.

بر اساس گزارش CyberNews، پس از کشف ابر پیکربندی نادرست که منجر به رخداد رخنه در 1 فوریه شد، تیم با بانک ICICI و CERT-In تماس گرفت و به دنبال آن مشکل حل شد. محققان می گویند که در 30 مارس، دسترسی به سطل DigitalOcean متعلق به بانک ICICI به طور کامل محدود شد.پاسخ بانک ICICI

پس از گزارش اولیه CyberNews، چندین رسانه خبری اخبار نقض ادعایی را منتشر کردند، با این حال، بسیاری از جمله Times Now، Business Today و Livemint داستان های خود را حذف کردند.

بر اساس نسخه Times Now که هنوز از طریق MSN قابل دسترسی است، بانک ICICI به مشتریان خود توصیه کرد که گزارشات مربوط به نقض را نادیده بگیرند و به آنها اطمینان داد که داده های آنها ایمن است. سومین بانک بزرگ هند، از نظر ارزش بازار، همچنین هشدار داد که “در برابر هر نهادی که اخبار نادرست در مورد نقض داده ها را منتشر کند یا تلاش کند به شهرت آن آسیب برساند، اقدام قانونی انجام خواهد داد.”

بر اساس اطلاعاتی که راهول نیل مانی، معاون مشارکت اجتماعی و سرمقاله ISMG در لینکدین به اشتراک گذاشته است، بانک ICICI بیانیه ای 4 ماده ای صادر کرد که در آن یافته های CyberNews را رد کرد:

1. بانک مالک یا مدیریت URL های مذکور نیست. بنابراین، همانطور که در مقاله ذکر شده است، در انتهای بانک بحثی وجود ندارد.
2. به نظر می‌رسید که چهار سند یافت شده در URL‌ها توسط افراد به عنوان ذخیره‌سازی آپلود شده است. آنها امنیت هیچ حسابی را به خطر نمی اندازند.
3. از آنجایی که اسناد نام بانک را داشتند، اقداماتی را برای پایین آوردن URL ها انجام دادیم.
4. همانطور که در مقاله ذکر شد، هیچ مدرکی دال بر در دسترس بودن 3.6 میلیون فایل با اطلاعات مشتری وجود ندارد.

آنچه محققان مستقل می گویند

راهول ساسی، یکی از بنیانگذاران و مدیرعامل CloudSEK می گوید ETCISO که گزارش CyberNews بر اساس داده های لو رفته از DigitalOcean است. او می‌گوید که زباله لو رفته حاوی داده‌های چندین شرکت دیگر و نه فقط بانک ICICI است.

او می گوید: “سطل به خطر افتاده حاوی اطلاعاتی است که متعلق به چندین شرکت دیگر است. من مطمئن نیستم که چرا محققان ICICI را انتخاب کردند.”

ساسی در مورد مشروعیت مجموعه داده مورد بحث، می‌گوید به نظر می‌رسد این داده‌ها اطلاعات قانونی KYC هستند، اما او مطمئن است که داده‌های لو رفته را نمی‌توان به بانک ICICI نسبت داد.

نمونه‌هایی از بخش‌های عظیم داده‌ای که شامل اطلاعات KYC میلیون‌ها نفر است، به یک اتفاق عادی تبدیل شده‌اند. اگرچه اکنون واضح است که نشت داده ها به دلیل نقص ICICI نبوده است، اما این واقعیت همچنان مشروع است.

علاوه بر این، ساسی ادعای CyberNews مبنی بر اینکه مجموعه داده به خطر افتاده حاوی اطلاعات مالی مشتریان، مانند اطلاعات کارت اعتباری و جزئیات حساب بانکی است، رد می کند. در حالی که CyberNews یک عکس فوری از داده های KYC یک مشتری خاص و یک کپی پاسپورت اسکن شده یک کارمند بانک را منتشر کرد، هیچ مدرکی مبنی بر افشای اطلاعات کارت اعتباری یا حساب بانکی در گزارش خود ارائه نشد.

ETCISO با سایبرنیوز تماس گرفتیم تا ناهنجاری های موجود در گزارش آن را بررسی کنیم اما هنوز پاسخی دریافت نکرده ایم.

Sanjay Kaushik، مدیر عامل Netrika Consulting Pvt. Ltd، یک شرکت مشاوره ریسک و امنیت سایبری نیز می گوید ETCISO منابع وی در مجریان قانون جرایم سایبری تایید می‌کنند که واقعاً یک نشت داده وجود دارد و داده‌های به خطر افتاده مشروع هستند.

او می‌گوید: “به طور کلی، شرکت‌ها تمایل دارند حوادث گزارش‌شده نقض داده را برای چند روز اول رد کنند، مگر اینکه اطلاعات در مجموع وجود داشته باشد. شما می‌توانید 100% تضمین را تنها زمانی که جزئیات را در دست دارید، داشته باشید.” با این حال، او نتوانست تأیید کند که آیا داده‌های فاش شده از سطل ابری DigitalOcean آمده است یا خیر.

DigitalOcean در آگوست 2022 دچار یک حادثه امنیتی جدی شد

DigitalOcean در وبلاگ خود به تاریخ 15 آگوست 2022 اعتراف کرد که یک هفته قبل، این شرکت متوجه شد که حساب Mailchimp آن به عنوان بخشی از یک حادثه امنیتی مشکوک “گسترده تر” Mailchimp در معرض خطر قرار گرفته است. در نتیجه تعلیق حساب Mailchimp DigitalOcean، مشتریان آن قادر به دریافت تاییدیه ایمیل، بازنشانی رمز عبور و هشدارهای مبتنی بر ایمیل نبودند.

با این حال، یک حادثه دوم زنگ خطر را ایجاد کرد: یک مشتری با شرکت تماس گرفت و ادعا کرد رمز عبور آنها بدون شروع مجدد تنظیم شده است. این زمانی بود که DigitalOcean تحقیقاتی را آغاز کرد.

به دلیل نقض، عمده خدمات ابری حدس زدند که برخی از آدرس‌های ایمیل مشتریان DigitalOcean ممکن است افشا شده باشند. این شرکت همچنین گزارش‌هایی مبنی بر تلاش عوامل تهدید برای دسترسی به داده‌های در معرض خطر پیدا کرد: «تعداد بسیار کمی از مشتریان DigitalOcean تلاش‌هایی را برای به خطر انداختن حساب‌های خود از طریق بازنشانی رمز عبور تجربه کردند».

با وجود اینکه DigitalOcean هیچ اطلاعات دیگری را که نشانی‌های ایمیل را ممانعت می‌کند در معرض خطر قرار نمی‌دهد، حفظ می‌کند، اما به مشتریان خود توصیه می‌کند در برابر تلاش‌های فیشینگ انجام شده توسط هکرها هوشیاری بیشتری داشته باشند.

دولت هند در ژوئن 2022 امنیت اطلاعات بانک ICICI را با پرچم قرمز نشان داد

طبق پست منتشر شده توسط متخصص حقوق سایبری کهنه کار، ویجایاشانکار نا، بنیانگذار Naavi، یک سازمان غیرانتفاعی متعهد به ایجاد فقه سایبری در هند، MeitY در 16 ژوئن 2022 اطلاعیه ای صادر کرد که سیستم بانکی اصلی ICICI (CBS) را در زمان واقعی اعلام کرد. سیستم تسویه ناخالص (RTGS)، سیستم ملی انتقال وجه الکترونیکی (NEFT) و سرور پیام‌رسان مالی ساختاریافته باید به عنوان سیستم‌های محافظت شده در نظر گرفته شوند.

طبق دستورالعمل MeitY، یک نماینده CERT-In باید در کمیته مدیریت امنیت اطلاعات بانک ICICI برای نظارت بر همه سیاست‌ها و پیاده‌سازی‌های امنیت اطلاعات گنجانده شود – به قول ویجایاشانکار یک “خجالت بزرگ”.

گزارش‌هایی وجود دارد که دستورالعمل‌های مشابهی برای بانک HDFC و NPCI تصویب شده است، اما اطلاعیه روزنامه فقط برای بانک ICICI در دسترس است.

ویجایاشانکار توضیح می‌دهد که دلیل انتصاب یک ناظر امنیت سایبری برای ICICI، به این دلیل است که دولت متوجه می‌شود که ناتوانی یا نابودی سیستم، «تأثیر ضعیف‌کننده‌ای بر امنیت ملی، اقتصاد، سلامت عمومی یا ایمنی» خواهد داشت.