Человеческая ошибка привела к утечке данных миллионов клиентов в индийском государственном банке, что вызвало вопросы о достоинствах биткойнов по сравнению с банками.
Государственный банк Индии, государственная корпорация, забыл защитить основную информацию о сервере, которая содержала сообщения клиентов, банковские балансы, детали транзакций и другие связанные с ними детали. Это позволило любому, кто знал, где искать данные, получить доступ и украсть их. Позже исследователь безопасности обнаружил незащищенный сервер и предупредил TechCrunch.
В ретроспективе сервер без пароля хранил данные за два месяца из SBI Quick. Это услуга, которая поддерживает банковские операции с помощью пропущенного звонка и SMS. Клиент, желающий получить доступ к своим банковским реквизитам, отправит в SBI пропущенный звонок или SMS-сообщение со своего зарегистрированного номера телефона. Взамен он / она получит информацию о своих счетах и финансах.
Из-за отсутствия блокировок любой мог получить доступ к серверу SBI в Мумбаи. Поэтому он мог получить доступ к зарегистрированным номерам клиентов, их учетным записям и недавним транзакциям.
Ответ ВОО
Официальный представитель SBI в Твиттере заявил, что расследует «предполагаемый» инцидент. Банк заявил, что выпустит официальное заявление вскоре после завершения расследования.
В свете недавнего сообщения о предполагаемом инциденте с данными, пожалуйста, ознакомьтесь с нашим заявлением ниже: pic.twitter.com/mu4xn12QgL
— Государственный банк Индии (@TheOfficialSBI) 31 января 2019 г.
Тем не менее, индийский банк не ответил на скриншоты утечек, представленных TechCrunch, медиа-источником этой истории. Клиентов SBI также не было нареканий — по крайней мере, в ответ на их твит — что могло означать, что о утечке данных знают немногие.
Забавно, что был замечен человек, спрашивающий подробности о процедуре ипотечного кредитования ВОО, прямо в их официальном заявлении.
Атаки социальной инженерии
Злоумышленник может в любой день опубликовать банковские данные клиентов SBI или продать их хакерам через подпольные торговые площадки в Интернете. Такая информация может быть использована в первую очередь против людей, которые имеют более высокие остатки на счетах. Между тем, знание их телефонных номеров может позволить хакерам организовать атаки социальной инженерии. Практика уже довольно стандартна во всем мире, когда хастлеры откачивают деньги через человеческие взаимодействия.
Тем не менее, команда безопасности регулярно проводит проникающее тестирование, которое использует процедуры социальной инженерии. В ВОО должна быть группа, посвященная обнаружению этих угроз из первых рук. Но понимая, что это второй раз за последние 12 месяцев, когда ВОО неправильно обрабатывал данные клиентов, банк начал казаться неискренним. В последний раз, когда это произошло, ошибка ВОО привела к созданию поддельных удостоверений личности Аадхаара (аналог чисел социального страхования в Индии).
Биткойн, спроектированный как решение
Энтони «Помпа» Помплиано быстро выдвинул на первый план несостоятельность основных банков после выхода отчета SBI. Основатель Morgan Creek заявил в твиттере, что только децентрализованные финансовые учреждения могут обеспечить максимальную безопасность для клиентов.
Государственный банк Индии только что слил конфиденциальные банковские данные о миллионах клиентов.
Упс!
Это еще одна причина, по которой нам нужны децентрализованные финансовые институты.
Длинный биткойн, короткие банкиры!
— Помпа
(@APompliano) 30 января 2019 г.
«Длинный биткойн, короткий банкир», — подчеркнул он.
Настроение выдвигает мнение, довольно популярное в поп-культуре Интернета. Он пропагандирует биткойны как мессию за финансовую независимость и конфиденциальность. В банках клиент всегда должен поставить свою личную информацию на карту, чтобы воспользоваться коммерческим сервисом. Однако потребителю биткойнов не нужно предоставлять унцию своей частной информации для той же услуги.
Сам контраст делает Биткойн лучшей альтернативой банковским методам. Это позволяет пользователям создавать свои суверенные идентичности, которые они сами контролируют и управляют. Таким образом, вместо того, чтобы делиться ими с банком для выполнения необходимой финансовой задачи, эти пользователи могут просто полагаться на децентрализованную сеть узлов, чтобы сделать то же самое — заплатив небольшую плату — без необходимости разглашать свою личность вместе с ними.
Поскольку банк разбит на сотни тысяч серверов, протокол биткойн также затрудняет хакерам поиск единой точки отказа.
В заключение, SBI необходимо улучшить свою игру, прежде чем ее клиенты действительно «закроют» ее.
