- Se descubrió que FatakPay, una empresa de préstamos india, almacenaba datos confidenciales en un depósito S3 desprotegido
- Los datos incluían nombres, direcciones, documentos de identidad y más de las personas.
- Desde entonces la empresa ha cerrado la base de datos.
La empresa de préstamos instantáneos FatakPay mantuvo datos confidenciales de millones de sus usuarios expuestos en Internet, durante un período de tiempo desconocido para cualquiera que supiera dónde buscar.
A mediados de septiembre de 2024, investigadores de seguridad de cibernoticias Se descubrió un depósito defectuoso de Amazon AWS S3 que contiene más de 27 millones de archivos llenos de información confidencial.
Los datos encontrados en el depósito incluyen nombres completos de las personas, direcciones postales, direcciones de correo electrónico, números de teléfono, copias de documentos nacionales de identidad, contratos de préstamo, extractos bancarios, solicitudes de préstamo completadas, selfies de usuarios para verificación, PAN (un número PIN emitido por la Ingreso Departamento de Impuestos de la India), Aadhar (un número PIN emitido por la Autoridad de Identificación Única de la India) e informes de calificación crediticia.
Cerrando el archivo
Después de varios intentos, los investigadores pudieron contactar a FatakPay, que luego cerró el cubo, pero aún no ha emitido una declaración oficial sobre el descubrimiento.
FatakPay es una plataforma de micropréstamos y pagos digitales en la India que brinda soluciones de crédito instantáneas a los usuarios para transacciones pequeñas con tarjeta. Al momento de esta publicación, su página de Google Play Store muestra más de 1 millón de descargas, pero el número exacto de usuarios activos no está disponible públicamente.
Las bases de datos defectuosas siguen siendo una de las principales causas de las fugas de datos. Varios investigadores han advertido que muchas organizaciones no comprenden completamente el modelo de responsabilidad compartida de la mayoría de los proveedores de alojamiento en la nube y creen que es función del proveedor de servicios mantener la seguridad de los datos.
Como resultado, los investigadores suelen encontrar grandes bases de datos llenas de información que los piratas informáticos pueden utilizar para robo de identidad, phishing, ingeniería social, fraude cibernético y más.
Recientemente, se encontró abierta en Internet una startup mexicana de tecnología financiera que poseía una gran base de datos llena de datos confidenciales de clientes. La empresa, llamada Kapital, tenía datos de 1,6 millones de mexicanos, incluidas identificaciones de votantes y selfies.