Ribuan Rekaman Transfer Bank India Terbuka di Internet Setelah Kebocoran Keamanan

Kebocoran data dari server cloud yang tidak aman mengungkap ribuan dokumen transfer bank di India.

Baru-baru ini, sebuah insiden mengejutkan terjadi di dunia perbankan India. Ribuan dokumen transfer bank ditemukan terbuka di internet akibat kebocoran keamanan dari server cloud yang tidak aman. Insiden ini mengungkapkan informasi sensitif seperti nomor rekening, jumlah transaksi, dan detail kontak individu.

Baca juga : Prediksi Pertandingan Girona vs Espanyol | 26 September 2025

Peneliti dari perusahaan keamanan siber, UpGuard, menemukan server penyimpanan yang di-host oleh Amazon, berisi 273.000 dokumen PDF terkait transfer bank pelanggan India. Dokumen-dokumen ini seharusnya diproses melalui National Automated Clearing House (NACH), sistem terpusat yang digunakan bank di India untuk memfasilitasi transaksi berulang dalam volume tinggi seperti gaji, pembayaran pinjaman, dan tagihan utilitas.

Data yang bocor ini terkait dengan setidaknya 38 bank dan lembaga keuangan berbeda. Meski kebocoran ini akhirnya ditutup, sumber kebocoran masih belum teridentifikasi. Setelah artikel ini dipublikasikan, perusahaan fintech India, Nupay, menghubungi TechCrunch untuk mengonfirmasi bahwa mereka telah menangani celah konfigurasi di bucket penyimpanan Amazon S3 yang berisi formulir transfer bank tersebut.

Bagaimana Kebocoran Ini Bisa Terjadi?

Meski tidak jelas mengapa data ini dibiarkan terbuka dan dapat diakses publik, kelalaian keamanan semacam ini sering terjadi akibat kesalahan manusia. Dalam posting blog yang merinci temuan mereka, peneliti UpGuard menyebutkan bahwa dari sampel 55.000 dokumen yang mereka periksa, lebih dari setengahnya menyebutkan nama pemberi pinjaman India, Aye Finance, yang tahun lalu mengajukan IPO senilai $171 juta.

Bank milik negara India, State Bank of India, adalah lembaga berikutnya yang sering muncul dalam dokumen sampel, menurut peneliti. Setelah menemukan data yang terbuka, peneliti UpGuard memberi tahu Aye Finance melalui email korporat, layanan pelanggan, dan pengaduan mereka. Mereka juga memberi tahu National Payments Corporation of India (NPCI), badan pemerintah yang bertanggung jawab mengelola NACH.

Reaksi dan Tindakan Selanjutnya

Menjelang awal September, peneliti mengatakan data masih terbuka dan ribuan file ditambahkan ke server yang terbuka setiap hari. UpGuard kemudian memberi tahu tim tanggap darurat komputer India, CERT-In. Data yang terbuka akhirnya diamankan tak lama setelah itu.

Namun, masih belum jelas siapa yang bertanggung jawab atas kebocoran keamanan ini. Juru bicara Aye Finance dan NCPI membantah bahwa mereka adalah sumber kebocoran data, dan juru bicara State Bank of India mengakui pemberitahuan kami tetapi tidak memberikan komentar.

Setelah publikasi, Nupay mengonfirmasi bahwa mereka adalah penyebab kebocoran data. Co-founder dan chief operating officer Nupay, Neeraj Singh, mengatakan kepada TechCrunch bahwa serangkaian terbatas catatan uji dengan detail pelanggan dasar disimpan di bucket Amazon S3 dan mengklaim sebagian besar adalah file dummy atau uji.

Perusahaan mengatakan log yang di-host Amazon mereka mengonfirmasi bahwa tidak ada akses tidak sah, kebocoran data, penyalahgunaan, atau dampak finansial. UpGuard membantah klaim Nupay, mengatakan kepada TechCrunch bahwa hanya beberapa ratus dari ribuan file yang mereka periksa tampaknya berisi data uji atau memiliki nama Nupay pada formulir.

UpGuard menambahkan bahwa tidak jelas bagaimana log cloud Nupay dapat mengesampingkan akses ke bucket Amazon S3 publik Nupay saat itu, mengingat Nupay belum meminta alamat IP UpGuard yang digunakan untuk menyelidiki paparan data tersebut. UpGuard juga mencatat bahwa detail bucket Amazon tidak terbatas pada peneliti mereka, karena alamat bucket Amazon S3 publik telah diindeks oleh Grayhatwarfare, database yang dapat dicari yang mengindeks penyimpanan cloud yang terlihat publik.

Ketika ditanya oleh TechCrunch, Singh dari Nupay tidak segera mengatakan berapa lama bucket Amazon S3 tersebut dapat diakses publik di web.