FatakPay: Kako su milijuni osjetljivih podataka bili izloženi
FatakPay, popularna tvrtka za instant zajmove, zabila je gromku vijest kada su njeni korisnički podaci pronađeni nezaštićeni na internetu. Istraživači sigurnosti iz Cybernewsa otkrili su to zapanjujuće otkriće u rujnu 2024. godine, kada su naišli na nepravilno konfiguriranu Amazon AWS S3 stazu koja je sadržavala više od 27 milijuna datoteka s osjetljivim informacijama.
Što je otkriveno u podacima?
Ovi podaci nisu samo slučajne informacije; radi se o iznimno osjetljivim podacima koji uključuju:
- Puno ime korisnika
- Poštanske adrese
- Email adrese
- Brojeve telefona
- Kopije nacionalnih identifikacija
- Ugovore o zajmu
- Izvode računa
- Popunjene prijave za zajam
- Selfie korisnika za verifikaciju
- PAN (PIN broj izdan od Indijskog poreznog ureda)
- Aadhar (PIN broj izdan od Unique Identification Authority of India)
- Izvještaje o kreditnom rejtingu
Reakcija FatakPaya
Nakon višestrukih pokušaja, istraživači su uspjeli kontaktirati FatakPay, koji je odmah zatvorio spomenutu stazu. Međutim, do trenutka pisanja ovog članka, službena izjava tvrtke još nije objavljena. FatakPay je platforma za digitalno plaćanje i mikro-zajmove u Indiji koja korisnicima nudi trenutna kreditna rješenja za manje transakcije. Na njihovoj stranici na Google Playu trenutno je prikazano više od 1 milijun preuzimanja, ali točan broj aktivnih korisnika nije javno dostupan.
Problemi s nepravilno konfiguriranim bazama podataka
Nepravilno konfigurirane baze podataka ostaju jedan od glavnih uzroka curenja podataka. Mnogi istraživači smatraju da organizacije ne razumiju uvijek model podijeljene odgovornosti koji većina pružatelja usluga u oblaku koristi. Postoji pogrešno uvjerenje da je sigurnost podataka isključivo odgovornost pružatelja usluga. Kao rezultat, često se nalaze velike baze podataka pune informacija koje kriminalci mogu iskoristiti za krađu identiteta, phishing, socijalni inženjering i financijske prevare.
Globalno ushićenje oko sigurnosti podataka
Ova situacija nije jedinstvena za FatakPay. Naime, nedavno je otkriveno da je meksički fintech start-up, Kapital, držao golemu bazu podataka s osjetljivim podacima milijuna korisnika izloženih na internetu. Ovi podaci su uključivali identifikacijske dokumente birača i selfieje koji su dodatno potvrđivali identitet korisnika. Ovakvi incidenti dodatno podižu razinu svijesti o potrebi za boljom zaštitom podataka u digitalnom dobu.
Zaključak
Incident s FatakPay-om jasno pokazuje koliko je važno pravilno upravljanje bazama podataka i svijest o sigurnosnim mjerama u organizacijama. U svijetu gdje su podaci postali najvrednija roba, zaštita informacija korisnika mora biti prioritet za sve tvrtke. Dok tehnologija napreduje, tako se i strategije zaštite moraju neprestano razvijati kako bi se osigurala sigurnost i povjerenje korisnika.
