أعلنت شركة التكنولوجيا المالية الهندية Nupay أنها أصلحت ما وصفته بـ«ثغرة تكوين» (Configuration Gap) بعد أن اكتشفت شركة UpGuard للأمن السيبراني حاوية تخزين غير محمية على منصة Amazon S3 تضم أكثر من 270 ألف وثيقة تحتوي على بيانات حساسة تتعلق بتحويلات مصرفية لعملاء هنود.
وتضمنت المعلومات المكشوفة أرقام الحسابات البنكية، ومبالغ المعاملات، وأسماء العملاء، وأرقام هواتفهم، وعناوين بريدهم الإلكتروني، ما يجعلها هدفًا مغريًا لجهات الاحتيال والاختراق المالي. وأشارت التقارير إلى أن البيانات ترتبط بما لا يقل عن 38 بنكًا ومؤسسة مالية مختلفة.
مدى الانكشاف وملابسات الحادثة
لم يتضح بعد المدة التي ظلت خلالها هذه البيانات قابلة للوصول علنًا عبر الإنترنت، إلا أن الخبراء يؤكدون أن مثل هذه الأخطاء في إعدادات التخزين السحابي ليست نادرة، وغالبًا ما تنتج عن سوء ضبط صلاحيات الوصول أو الإعدادات الافتراضية غير الآمنة.
وتعد حوادث تسرب البيانات عبر خدمات Amazon S3 واحدة من أكثر أشكال الانكشاف شيوعًا في بيئة الخدمات السحابية، إذ يمكن لأي خطأ بسيط في التكوين أن يجعل الملفات متاحة للعامة دون مصادقة، وهو ما حدث مرارًا مع مؤسسات مالية حول العالم.
رد الشركة وتوضيحها
في تصريح لموقع TechCrunch، أكدت Nupay أن الحاوية التي تم اكتشافها احتوت على مجموعة محدودة من سجلات الاختبار فقط، تتضمن بيانات أساسية لعملاء، وأن معظمها كان ملفات تجريبية أو وهمية لا تخص معاملات حقيقية.
وأضافت الشركة أنها سارعت إلى تقييد الوصول إلى الحاوية فور إخطارها بالثغرة، وأنها نفذت مراجعة شاملة لإعدادات الأمان الخاصة بها لضمان عدم تكرار مثل هذا الانكشاف مستقبلاً.
خلفية أوسع لمشكلة إعدادات السحابة
تأتي هذه الحادثة ضمن سلسلة من تسريبات البيانات الناجمة عن سوء تكوين التخزين السحابي، والتي تزايدت في الأعوام الأخيرة مع توسع المؤسسات في اعتماد خدمات مثل AWS وAzure وGoogle Cloud دون تعزيز إجراءات المراقبة الأمنية. وغالبًا ما تُستغل هذه الثغرات في هجمات الهندسة الاجتماعية، أو حملات الاحتيال المالي، أو بيع البيانات على أسواق الإنترنت المظلم.
ويرى خبراء الأمن أن الحادثة تؤكد الحاجة إلى ممارسات صارمة لإدارة التكوينات (Configuration Management)، بما في ذلك المراجعة الدورية للتصاريح، وتطبيق معايير التشفير والوصول المقيد افتراضيًا، خصوصًا في القطاعات التي تتعامل مع بيانات مالية حساسة.
