Um erro de configuração em um servidor de nuvem deixou expostos centenas de milhares de documentos de transferências bancárias na Índia, revelando dados confidenciais como números de contas, valores de transações e informações de contato de clientes.
Como o vazamento foi descoberto
Pesquisadores da empresa de segurança UpGuard identificaram, no fim de agosto, um bucket do Amazon S3 acessível publicamente, contendo cerca de 273 mil PDFs relacionados a transferências bancárias processadas pelo NACH (National Automated Clearing House). O NACH é um sistema centralizado que facilita pagamentos recorrentes em grande escala, como salários, empréstimos e contas de serviços.
Segundo os especialistas, os arquivos expostos envolviam dados de pelo menos 38 bancos e instituições financeiras. Entre os nomes mais citados estavam o Aye Finance, que havia solicitado um IPO de US$ 171 milhões, e o State Bank of India, maior banco estatal do país.
Quem foi o responsável?
Após a divulgação do caso, a fintech indiana Nupay assumiu ter resolvido a falha, alegando que o problema estava em uma “lacuna de configuração” no servidor de armazenamento. A empresa, porém, afirmou que os arquivos eram em sua maioria registros de teste ou fictícios, negando qualquer vazamento real de dados de clientes.
A UpGuard, por outro lado, contestou essa versão. De acordo com a empresa, apenas uma pequena parte dos documentos parecia ser de teste — a maioria trazia informações reais. Além disso, o bucket público já estava indexado em bancos de dados como o Grayhatwarfare, o que significa que outras pessoas poderiam ter acessado o conteúdo.
Demora na correção
Mesmo após os alertas iniciais, os dados permaneceram expostos por semanas, com novos arquivos sendo adicionados diariamente. Só depois da notificação à CERT-In (agência nacional de resposta a incidentes de segurança) é que os registros foram finalmente protegidos.
Apesar da correção, ainda não está claro por quanto tempo o bucket ficou aberto e quem, de fato, teve acesso aos documentos. A Nupay não informou a duração da exposição nem solicitou os IPs usados pela UpGuard durante a investigação.
O que esse caso mostra
Falhas como essa são comuns quando buckets de nuvem ficam mal configurados — muitas vezes por descuido humano. E, mesmo que empresas minimizem o impacto, especialistas alertam: qualquer dado exposto em ambiente público pode ser copiado, compartilhado e usado de forma indevida.
Esse episódio reforça a importância de auditar constantemente as configurações de servidores em nuvem e adotar boas práticas de segurança para evitar que informações críticas fiquem ao alcance de qualquer pessoa na internet.
