- FatakPay, een Indiase leningmaatschappij, bleek gevoelige gegevens op te slaan in een onbeschermde S3-bucket
- De gegevens omvatten de namen, adressen, ID’s en meer van mensen
- Het bedrijf heeft de database sindsdien vergrendeld
Instantleningsbedrijf FatakPay bewaarde gedurende een onbekende periode gevoelige gegevens van miljoenen van zijn gebruikers die op internet waren blootgesteld aan iedereen die wist waar hij moest zoeken.
Medio september 2024 kwamen beveiligingsonderzoekers van Cybernieuws ontdekte een verkeerd geconfigureerde Amazone AWS S3-bucket met meer dan 27 miljoen bestanden gevuld met gevoelige informatie.
De gegevens in de bucket omvatten de volledige namen van mensen, postadressen, e-mailadressen, telefoonnummers, kopieën van nationale identiteitsbewijzen, leningsovereenkomsten, rekeningafschriften, ingevulde leningsaanvragen, selfies van gebruikers ter verificatie, PAN (een pincode uitgegeven door de Indiase afdeling inkomstenbelasting), Aadhar (een pincode uitgegeven door de Unique Identification Authority van India) en kredietscorerapporten.
Het archief sluiten
Na een paar pogingen slaagden de onderzoekers erin om contact op te nemen met FatakPay, die vervolgens de emmer sloot, maar nog geen officiële verklaring over de ontdekking heeft vrijgegeven.
FatakPay is een digitaal betalings- en microkredietplatform in India dat gebruikers directe kredietoplossingen biedt voor transacties met kleine tickets. Op het moment van schrijven is het Google Play Store pagina toont meer dan 1 miljoen downloads, maar het exacte aantal actieve gebruikers is niet openbaar beschikbaar.
Verkeerd geconfigureerde databases blijven een van de belangrijkste oorzaken van datalekken. Sommige onderzoekers waarschuwden dat veel organisaties het gedeelde verantwoordelijkheidsmodel van de meeste cloudhostingproviders niet volledig begrijpen, en dat zij geloven dat het de taak van de serviceprovider is om de gegevens veilig te houden.
Als gevolg hiervan stuiten onderzoekers vaak op grote databases vol informatie waar boeven voor kunnen gebruiken identiteitsdiefstalphishing, social engineering, draadfraude en meer.
Onlangs werd een Mexicaanse fintech-startup gevonden die een grote database vol gevoelige klantgegevens wijd open op internet had staan. Het bedrijf, genaamd Kapital, beschikte over gegevens over 1,6 miljoen Mexicanen, inclusief kiezers-ID’s en selfies.
