El registro de dominios .bank de India filtró datos sensibles de miles de empleados

Un portal pensado para aumentar la confianza acabó convertido en una fuga de datos. El Domain Registration Portal del IDRBT (el brazo tecnológico del banco central de India, RBI), encargado de emitir los dominios .bank.in, expuso más de 33 endpoints REST sin autenticación que filtraron hashes bcrypt de 5.576 empleados de entidades bancarias.

El problema

El RBI obligó a los bancos a migrar al dominio de confianza .bank.in precisamente para combatir el fraude y el phishing. Pero la implementación del portal de registro tenía fallos graves:

  • 33+ endpoints de API REST accesibles sin autenticación, que devolvían datos internos a cualquiera que los consultara.
  • Se expusieron hashes bcrypt de las credenciales de 5.576 empleados bancarios (bcrypt es fuerte, pero su exposición permite ataques de fuerza bruta offline dirigidos).
  • La exposición se prolongó aproximadamente 13 meses antes de ser corregida.
  • El investigador conocido como "Srikanth L" lo descubrió y lo divulgó a través de CashlessConsumer.

El informe añade higiene deficiente en el propio programa: en torno al 80% de los dominios .bank.in carecen de DNSSEC y cerca del 40% no tienen DMARC, lo que debilita justo las protecciones antifraude que el programa pretendía reforzar.

Recomendaciones inmediatas

  • Autentica y autoriza TODOS los endpoints de API; no asumas que una ruta "interna" no será descubierta.
  • Aplica el principio de mínima exposición: ningún endpoint debe devolver hashes de credenciales ni PII a peticiones no autenticadas.
  • Despliega DNSSEC y DMARC/SPF/DKIM en todos los dominios corporativos.
  • Realiza pruebas de seguridad de API (autenticación, autorización, enumeración) antes de exponer un portal.

¿Estás cubierto en DefensOps?

DefensOps ayuda a detectar y prevenir este tipo de exposición:

  • T1190 – Explotación de aplicación pública: el módulo de superficie de ataque identifica endpoints y servicios expuestos, y el NDR detecta enumeración masiva de APIs. Disponible desde Advanced.
  • T1552 – Credenciales en ubicaciones no seguras: el motor de correlación eleva el incidente ante accesos anómalos que devuelven material de credenciales.

👉 Consulta los planes de DefensOps y solicita una demo


Fuentes: The Register