Esta ampliamente utilizada aplicación de préstamos instantáneos filtra casi 30 millones de archivos de datos de usuarios.


FatakPay, una compañía india de préstamos, fue encontrada almacenando datos sensibles en un cubo S3 desprotegido
Los datos incluían nombres de personas, direcciones, IDs y más
La compañía ha cerrado la base de datos desde entonces


La compañía de préstamos instantáneos FatakPay mantuvo datos sensibles sobre millones de sus usuarios expuestos en Internet, por un período desconocido para cualquiera que supiera dónde buscar.

A mediados de septiembre de 2024, investigadores de seguridad de Cybernews descubrieron un cubo Amazon AWS S3 mal configurado que contenía más de 27 millones de archivos llenos de información sensible.

Los datos encontrados en el cubo incluyen nombres completos de personas, direcciones postales, direcciones de correo electrónico, números de teléfono, copias de IDs nacionales, contratos de préstamos, extractos de cuenta, solicitudes de préstamos completadas, selfies de usuario para verificación, PAN (un número PIN emitido por el Departamento de Impuestos sobre la Renta de la India), Aadhar (un número PIN emitido por la Autoridad Nacional de Identificación de la India) y informes de calificación crediticia.

Cerrando el archivo

Después de varios intentos, los investigadores lograron contactar con FatakPay, que luego cerró el cubo, pero aún no ha emitido una declaración oficial sobre el descubrimiento.

FatakPay es una plataforma de pago digital y microcréditos en India que proporciona soluciones de crédito instantáneas a los usuarios para transacciones de pequeño importe. En el momento de la publicación, su página en la Google Play Store muestra más de 1 millón de descargas, pero el número exacto de usuarios activos no está públicamente disponible.

Las bases de datos mal configuradas siguen siendo una de las principales causas de filtraciones de datos. Algunos investigadores advierten que muchas organizaciones no comprenden completamente el modelo de responsabilidad compartida de la mayoría de los proveedores de alojamiento en la nube, y creen que es responsabilidad del proveedor de servicios mantener los datos seguros.

LEAR  ¿Qué está pasando con Nvidia, Broadcom, Intel y otras acciones de chips el jueves?

Como resultado, los investigadores suelen tropezar con grandes bases de datos llenas de información que los criminales podrían utilizar para robo de identidad, phishing, ingeniería social, fraude bancario y más.

Recientemente, se encontró que una startup fintech mexicana mantenía una gran base de datos llena de datos sensibles de clientes expuestos en Internet. La compañía, llamada Kapital, tenía datos de 1,6 millones de mexicanos, incluidas credenciales de votantes y selfies.

También te puede interesar