icici 银行数据泄露：ICICI 银行驳斥数据泄露报告； 这是我们目前所知道的

4 月 21 日，Cyber​​News 发布了一份报告，称超过 360 万份包含银行及其客户信息的 ICICI 银行文件从纽约云服务提供商 DigitalOcean 管理的可公开访问的云存储桶中泄露。

根据基于研究的在线出版物，所谓的数据泄露是由于银行系统配置错误导致暴露了 350 万条记录。

ICICI 银行在其 4 点声明中断然否认数据泄露事件。 研究人员告诉 ETCISO，虽然泄露的 KYC 数据看起来是合法的，但不能归咎于银行专业的失误。

发现

泄露的数据包括银行对账单、信用卡号码、KYC 信息——姓名、出生日期、地址、电话号码、电子邮件 ID——以及 PAN 卡信息和护照扫描件等个人身份证明文件。

除了客户数据外，研究人员还发现，在泄露的数据转储中还发现了现有和未来员工的简历。

据 Cyber​​News 报道，在发现导致 2 月 1 日违规事件的云配置错误后，该团队联系了 ICICI 银行和 CERT-In，随后问题得到解决。 研究人员表示，截至 3 月 30 日，对属于 ICICI 银行的 DigitalOcean 存储桶的访问受到完全限制。ICICI银行的回应

在 Cyber​​News 的初步报道之后，几家新闻媒体发布了据称违规的消息，但是，包括 Times Now、Business Today 和 Livemint 在内的许多媒体撤下了他们的报道。

根据仍可通过 MSN 访问的 Times Now 版本，ICICI 银行建议其客户忽略有关违规的报告，并向他们保证他们的数据是安全的。 就市值而言，这家印度第三大银行也警告说，它将“对任何散布有关数据泄露的虚假消息或试图损害其声誉的实体采取法律行动”。

根据 ISMG 社区参与和编辑副总裁 Rahul Neel Mani 在 LinkedIn 上分享的信息，ICICI 银行发表了一份 4 点声明，驳斥了 Cyber​​News 的调查结果：

1. 本行不拥有或管理上述 URL。 因此，不存在文章中提到的银行端配置错误的问题。
2. URL 中发现的四个文件似乎是由个人上传作为存储。 它们不会损害任何帐户的安全性。
3. 由于文件带有银行的名称，我们采取措施降低了 URL。
4. 如文章中所述，没有证据表明有 360 万个包含客户数据的文件可用。

独立研究人员怎么说

CloudSEK 的联合创始人兼首席执行官 Rahul Sasi 告诉我们 ETCISO Cyber​​News 的报告是基于 DigitalOcean 泄露的数据转储。 他说泄露的转储包含来自其他几家公司的数据，而不仅仅是 ICICI 银行。

“受损的存储桶包含属于其他几家公司的信息。我不确定为什么研究人员会挑出 ICICI，”他说。

在评论相关数据集的合法性时，Sasi 表示这些数据似乎是合法的 KYC 信息，但他确信泄露的数据不能归因于 ICICI 银行。

包括数百万人的KYC信息在内的海量数据泄露事件屡见不鲜。 虽然现在很清楚数据泄露不是由于 ICICI 的失误，但事实仍然是数据是合法的。

此外，Sasi 驳斥了 Cyber​​News 的说法，即泄露的数据集包含客户的财务信息，例如信用卡数据和银行账户详细信息。 虽然 Cyber​​News 发布了特定客户的 KYC 数据快照和银行员工的扫描护照副本，但其报告中没有提供表明信用卡或银行账户数据泄露的证据。

ETCISO 联系 Cyber​​News 以确定其报告中的异常情况，但我们尚未收到回复。

Netrika Consulting Pvt. 董事总经理 Sanjay Kaushik。 Ltd，一家风险咨询和网络安全公司，也告诉 ETCISO 他在网络犯罪执法部门的消息来源证实确实存在数据泄露，并且泄露的数据是合法的。

“一般来说，公司往往会在头几天否认报告的数据泄露事件，除非信息已经全部公开。只有掌握了详细信息，你才能有 100% 的把握，”他说。 然而，他无法确认泄露的数据是否来自上述 DigitalOcean 云存储桶。

DigitalOcean 在 2022 年 8 月遭遇了严重的安全事件

在其日期为 2022 年 8 月 15 日的博客中，DigitalOcean 承认，一周前，该公司发现其 Mailchimp 帐户已被盗用，这是疑似“更广泛”的 Mailchimp 安全事件的一部分。 由于 DigitalOcean 的 Mailchimp 帐户被暂停，其客户无法收到电子邮件确认、密码重置和基于电子邮件的警报。

然而，第二起事件触发了警报：一位客户联系该公司，声称他们的密码在没有启动的情况下被重置。 就在那时，DigitalOcean 展开了调查。

由于违规，云服务专业人士推测某些 DigitalOcean 客户电子邮件地址可能已经暴露。 该公司还发现了有关威胁行为者试图访问受损数据的报告：“极少数 DigitalOcean 客户经历过通过密码重置试图破坏其帐户的经历。”

尽管 DigitalOcean 表示除了电子邮件地址外没有其他信息被泄露，但它建议其客户对黑客进行的网络钓鱼尝试保持更高的警惕。

印度政府于 2022 年 6 月对 ICICI 银行的信息安全发出红色标记

根据资深网络法专家、致力于在印度建立网络法理学的非营利组织 Naavi 的创始人 Vijayashankar Na 发表的一篇文章，MeitY 于 2022 年 6 月 16 日发布了一份通知，实时宣布 ICICI 的核心银行系统 (CBS)总结算系统 (RTGS)、国家电子资金转账系统 (NEFT) 和结构化金融消息服务器被视为受保护系统。

根据 MeitY 的指示，ICICI 银行的信息安全治理委员会必须包括一名 CERT-In 代表，以监督所有信息安全政策和实施——用 Vijayashankar 的话来说，这是一个“巨大的尴尬”。

有报道称，HDFC 银行和 NPCI 也通过了类似指令，但宪报通知仅适用于 ICICI 银行。

Vijayashankar 解释说，之所以为 ICICI 任命网络安全监管机构，是因为政府担心该系统的失效或破坏将“对国家安全、经济、公共健康或安全产生破坏性影响”。