Os pesquisadores de segurança de TI da Cybernews descobriram um banco de dados contendo registros de investigação de fraudes financeiras e outros dados confidenciais pertencentes à polícia federal indiana.
O banco de dados exposto publicamente também inclui nomes de titulares de contas bancárias, saldos, números de contas, tipos de transações, valores, destinos e casos assumidos pelo Central Bureau of Intelligence (CBI) Índia.
No total, o banco de dados continha 335 milhões de registros ou aproximadamente 24 GB de dados. O conjunto de dados foi descoberto quando os pesquisadores realizaram uma investigação de inteligência de código aberto do Elasticsearch e Kibana hospedado pela empresa de computação em nuvem com sede na França OVHCloud.
Pior ainda, os pesquisadores identificaram registros de mais de 200 bancos no banco de dados aberto. Além disso, o banco de dados incluía informações relacionadas a casos de empresas privadas, que foram investigadas pela polícia local sobre práticas fraudulentas e levadas à justiça.
Imagem: Cybernews
O proprietário deste banco de dados não é identificado no momento, mas considerando a natureza das informações que ele contém, os pesquisadores acreditam que pode ser assumido que ele pertence a um agência privada de investigação de fraudes ou um tribunal na Índia.
Perigos potenciais
Os atores de ameaças podem explorar informações financeiras para acessar contas ilegalmente e roubar fundos delas. Usando dados de consultas financeiras, os golpistas podem abordar pessoas que foram nomeadas em casos de fraude e enganá-las.
Embora o banco de dados tenha sido protegido rapidamente, ainda é bastante arriscado, considerando que dados altamente confidenciais foram expostos publicamente.
Em seu post do blog, o pesquisador da Cybernews Aras Nazarovas explicou os possíveis perigos dessa exposição desnecessária de dados.
“Enquanto os invasores não podem usar esses dados sozinhos para causar qualquer dano, eles podem ser usados em combinação com dados coletados de outros ataques. Também pode ser útil para invasores que desejam encontrar contas de destino com saldos altos. Descrições de pagamento podem ser usadas para rastrear os hábitos de consumo de um alvo.”
