كشفت شركة UpGuard المتخصصة في الأمن السيبراني عن كارثة بيانات تهدد القطاع المالي في الهند، حيث تم العثور على خادم سحابي غير محمي تابع لـ “أمازون”، يكشف عن معلومات حساسة لأكثر من 273 ألف تحويل مالي في صيغة PDF، هذه الوثائق، التي كانت متاحة للجميع، احتوت على كنوز من البيانات الشخصية السرية.
المعلومات المسربة تضمنت تفاصيل بالغة الحساسية، مثل أرقام الحسابات المصرفية، سجلات المعاملات المالية، ومعلومات الاتصال الشخصية، وكانت هذه البيانات مخصصة في الأصل للمعالجة عبر نظام مركز المقاصة الآلي الوطني (NACH)، وهو نظام حيوي تستخدمه البنوك الهندية لتسهيل عمليات الدفع المتنوعة، بما في ذلك دفع الرواتب، سداد القروض، وتسوية فواتير الخدمات.
تُظهر هذه الحادثة حجم المخاطر التي تواجه المؤسسات المالية في العصر الرقمي، حيث يمكن أن يؤدي خطأ بسيط في الإعدادات الأمنية إلى عواقب وخيمة تطال ملايين الأفراد.
### من المسؤول عن التسريب؟
التحقيقات المعمقة كشفت عن أن شركة Nupay، وهي شركة تكنولوجيا مالية، هي السبب الجذري لهذه الثغرة الأمنية، وأقرت الشركة بأن “إعدادات خاطئة” في خدمة Amazon S3 كانت السبب وراء هذا التسريب المؤسف، ومع ذلك، سعت Nupay للتقليل من أهمية الحادث، مدعية أن غالبية الملفات المسربة كانت مخصصة لأغراض “الاختبار أو وهمية”.
لكن UpGuard، الشركة التي كشفت عن التسريب، رفضت هذه المزاعم بشكل قاطع، وأكدت أن الغالبية العظمى من الملفات تحتوي على بيانات حقيقية وحساسة للغاية، ولم تقتصر المشكلة على ذلك، بل أشارت UpGuard إلى أن هذه المستندات فُهرست أيضًا عبر قاعدة بيانات عامة معروفة باسم Grayhatwarfare، مما يعني أن نطاق الوصول المحتمل للبيانات المسربة كان أوسع بكثير مما اعترفت به Nupay.
### ما هي البنوك المتضررة؟
بحسب الباحثين، امتد تأثير التسريب ليشمل ما لا يقل عن 38 بنكًا ومؤسسة مالية مرموقة، من بينها:
* Aye Finance، وهي شركة كانت تستعد لطرح عام أولي بقيمة 171 مليون دولار، هذا التسريب قد يؤثر سلبًا على خططها المستقبلية.
* بنك الدولة الهندي (SBI)، وهو أكبر بنك مملوك للحكومة في الهند، هذا يشير إلى أن حتى أكبر المؤسسات المالية ليست محصنة ضد الأخطاء الأمنية.
### خطوات احتواء التسريب وتأمين البيانات
على الرغم من أن البيانات المسربة سُحبت لاحقًا من الإنترنت، إلا أن أسئلة مهمة لا تزال بلا إجابة:
* ما هي المدة الزمنية التي بقيت خلالها الملفات مكشوفة؟
* من هي الجهة المسؤولة عن مراقبة أمن المعلومات في المؤسسات المالية الهندية؟
تدخلت السلطات المعنية، بما في ذلك فريق الاستجابة لطوارئ الحاسوب في الهند (CERT-In)، في وقت لاحق للمساعدة في تأمين البيانات المتضررة، ومع ذلك، فإن هذه الحادثة المروعة سلطت الضوء مرة أخرى على الهشاشة المتكررة في أنظمة الأمن السحابي، والتي غالبًا ما تنجم عن أخطاء بشرية قاتلة، هذه الأخطاء يمكن أن يكون لها عواقب وخيمة على المؤسسات المالية وعملائها على حد سواء.
لذلك، يجب على المؤسسات المالية الاستثمار في تدريب موظفيها على أفضل الممارسات الأمنية، وتنفيذ ضوابط صارمة للوصول إلى البيانات الحساسة، ومراجعة وتحديث إعدادات الأمان السحابي بانتظام، بالإضافة إلى ذلك، يجب أن تكون هناك شفافية أكبر بشأن الجهة المسؤولة عن مراقبة أمن المعلومات في المؤسسات المالية.
فيما يلي جدول يوضح مقارنة بين ادعاءات Nupay وتقييم UpGuard:
| الادعاء | Nupay | UpGuard |
|---|---|---|
| طبيعة الملفات المسربة | معظمها ملفات اختبارية أو وهمية. | الغالبية العظمى تحتوي على بيانات حقيقية وحساسة. |
| مدى الوصول للبيانات | لم يتم تحديده بوضوح. | فُهرست عبر قاعدة بيانات عامة (Grayhatwarfare). |