인도의 Baroda 은행, 앱을 막기 위해 계좌 조작

[이매진]

인도의 Baroda 은행, 앱을 막기 위해 계좌 조작

https://www.aljazeera.com/economy/2023/7/11/indias-bank-of-baroda-misused-customer-data-to-flog-app

India’s Bank of Baroda tampered with accounts to flog app

두 번째로 큰 정부 소유 은행은 앱 등록을 촉진하기 위해 낯선 사람의 휴대폰 번호를 연결하여 보안을 손상시켰습니다.

바로다 은행에서 수만 개의 은행 계좌가 낯선 사람의 휴대폰 번호와 연결되어 안전이 위험했습니다 [파일: Anushree Fadnavis/Reuters]

헤만  트 가이롤라 

2023년 7월 11일에 게시됨2023년 7월 11일

인도 데라둔 – Bhopal 지역의 Baroda 은행 직원은 자신과 동료들이 지역 사무소로부터 작년 3월 24일 오전 7시에 출근하라는 명령을 받았던 날을 회상합니다.

그들은 6개월 전에 출시된 은행의 새 앱인 "bob World"에 고객을 등록하는 작업을 받았습니다. 임원의 지점에는 최소 150명의 기존 은행 고객을 온보딩하는 목표가 주어졌습니다.

계속 읽으세요4개 항목 목록목록 1/4Threads, 5일 만에 사용자 1억 명 돌파목록 2/4HRW는 우간다 송유관이 생계를 '황폐화'시켰다고 말했습니다.4개 중 3개 목록Foxcon, 인도에 195억 달러 규모의 Vedanta 칩 계획 포기목록 4/4운동선수 학대한 미국 의사 래리 나사르, 감옥에서 칼에 찔려목록의 끝

하루가 진행됨에 따라 경찰관과 그의 동료들은 지역 사무소가 그들을 감시하고 저조한 성과에 대해 질책하는 동안 사람들이 등록하도록 하기 위해 고군분투했습니다.

제보자 1호로 지목될 은행의 보복이 두려워 신원을 공개하지 말라고 요청한 보안관은 절망했다.

그와 그의 동료들은 다른 지점의 동료들로부터 해결 방법을 배웠습니다. 휴대폰 번호와 연결되지 않은 은행 계좌 목록을 가져오고, 이 계좌를 그들이 수집할 수 있는 모든 휴대폰 번호(은행 직원, 위생 및 보안 직원 및 그들의 친척)에 연결하여 앱에 가입하는 데 필요한 일회용 비밀번호(OTP)를 생성하고 백엔드에서 이러한 계정을 등록합니다. 그런 다음 직원은 앱에서 이러한 고객의 등록을 취소하고 다른 은행 계좌와 동일한 방식으로 동일한 휴대폰 번호를 재사용합니다.

임무의 성공을 보장하기 위해 각 지점에 한 명의 담당자가 대리인인 지역 사무소의 노드 담당자가 전술에 대해 들었을 때, 그는 고객의 은행 계좌와 연결하기 위해 자신과 아내의 휴대폰 번호를 제공했습니다.

이러한 고객 계정에 대한 간섭은 불법적이고 비윤리적임에도 불구하고 팀은 이 전략을 구현하고 밤늦게까지 계속했습니다.

Uttar Pradesh, Rajasthan, Gujarat 및 Jharkhand와 같은 다른 주에서 온 Baroda 은행 직원들도 Al Jazeera에 이 널리 퍼진 운영 방식을 확인했습니다. 구자라트 출신의 은퇴한 한 임원은 은행 최고 경영진에게 이러한 부정 행위를 강조하는 5개의 이메일을 보냈습니다. 그는 익명을 조건으로 이 이메일을 Al Jazeera와 공유했습니다.

그가 지난해 2월 퇴임 후 보낸 이메일에는 “밥월드 활성화에 너무 많은 압박을 가해 거의 사기에 가까운 상황이 벌어지고 고객 계좌에는 활성화를 위해 지점장 휴대폰 번호가 업데이트된다. … 매우 큰 사기가 코앞에 있습니다.”

은행의 고객 관리 부서는 이 이메일에 답장하여 하나의 모바일 번호는 하나의 bob World 계정에만 연결할 수 있다고 주장했습니다.

알자지라 가입하기중동에서의 주

한 곳에서 지역에 대한 우리의 취재를 따라잡으십시오.

가입하기

가입하면 개인 정보 보호 정책 에 동의하게 됩니다.

작년 3월에서 6월 사이에 전무이사, 최고경영자, 전무이사에게 보낸 후속 이메일 중 하나에서 은퇴한 임원은 그가 사는 도시의 몇몇 지점을 방문했고 직원들이 이 지점에서는 고객 계정에 자신의 휴대폰 번호를 추가했을 뿐만 아니라 bob World 등록 수를 늘리기 위해 새 SIM 카드를 구입했습니다. 그의 이메일 중 하나는 일부 지점의 내부 검사 보고서에서 이러한 헛소리를 기록하기도 했다고 말합니다.

은행 직원 노동조합인 We Bankers Association의 사무총장인 Ashish Mishra는 The Reporters' Collective에 그들의 노조가 3월 24일 "마하 로그인의 날"에 대해 많은 불만을 접수했다고 말했습니다. 앱 등록을 늘리기 위해 추진되고 있었습니다. We Bankers는 트위터 에서 이러한 불만 사항 중 일부에 대한 스크린샷을 공유했습니다 .

많은 고객이 가입 직후 등록이 취소되었지만 – 즉, 이러한 관행을 사용하여 가입했다고 해서 자동으로 앱의 활성 사용자 수가 증가한 것은 아닙니다 – 다운로드 수와 서명 수는 증가했습니다. -업. 이러한 메트릭은 앱의 성공을 측정하기 위해 인용되기도 합니다.

모든 이메일

인도에서 두 번째로 큰 정부 소유 은행인 Bank of Baroda의 내부 이메일은 수만 개의 은행 계좌가 낯선 사람의 휴대폰 번호와 연결되어 있기 때문에 안전이 위험에 처해 있음을 인정합니다. Whistleblower 1은 보팔 지역에 있는 지역 사무소의 운영 부서에서 그 아래 지사로 보낸 이메일의 알 자지라 스크린샷을 제공했습니다.

2022년 1월에 처음 발송된 이메일에는 여러 계정에 연결된 휴대전화 번호에 대해 영업점에 신중한 문의를 요청했으며, 이러한 문의에 비추어 휴대전화 번호 철회 여부를 권고했습니다. 청소는 단계적으로 진행되었습니다. 첫째, 최대 100개 이상의 계정에 불법적으로 연결된 전화번호를 연결 해제해야 했습니다. 그 뒤를 50개 이상의 계정과 연결된 휴대폰 번호가 이어졌고, 나중에는 30개 이상의 계정이 연결된 휴대폰 번호가 이어졌습니다.

지난해 4월(왼쪽)과 5월(오른쪽)에 보낸 이메일에서 바로다은행 보팔지역 사무소는 영업점에 30개 이상, 50개 이상의 계좌에 연결된 휴대폰 번호의 진위 여부를 조사해 달라고 요청했다. [화면 캡처]

이메일은 보팔 지역에서 약 1,300개의 휴대폰 번호가 30개에서 100개의 은행 계좌에 연결되어 거의 62,000개의 은행 계좌를 위험에 빠뜨렸다는 것을 보여줍니다. 평균적으로 하나의 휴대폰 번호에 연결된 은행 계좌 수는 47개입니다. 은행 정책에 따르면 하나의 휴대폰 번호는 8개 이상의 계정과 연결될 수 없으며 이러한 모든 계정이 동일한 가족에 속하는 경우에만 가능합니다.

100개 이상의 계좌와 연결된 전화번호에 대한 세부 정보가 제공된다면 실제 낯선 사람의 휴대폰 번호로 매핑된 은행 계좌 수는 훨씬 더 많을 것입니다.

Whistleblower 1이 그의 지역 사무소에서 모든 지사로 공유한 이메일에 다음과 같이 명시되어 있습니다. 휴대전화 번호를 계속 유지해야 하는지 또는 해당 계정에서 즉시 휴대전화 번호를 철회해야 하는지에 대한 명확한 권고를 보냅니다.”

같은 사무실에서 온 또 다른 이메일은 사기 위험을 인정합니다.

Al Jazeera는 30-50개의 은행 계좌와 연결된 휴대폰 번호의 세부 정보가 포함된 이 이메일에 첨부된 스프레드시트의 스크린샷을 입수했습니다.

은행의 보복으로부터 그를 보호하기 위해 이름도 공개되지 않은 내부 고발자 2는 다른 주에 있는 바로다 은행의 지역 사무소에서 근무합니다. 그는 작년에 그러한 정리 작업을 실행했으며 Al Jazeera에 대부분의 중복 번호가 은행 직원의 것으로 판명되었다고 말했습니다. Al Jazeera는 Whistleblower 2의 사무실이 해당 지역 사무실에 이 번호를 연결 해제할 것을 권고한 편지의 사본을 가지고 있습니다.

상급 사무소에서 가짜 휴대폰 번호를 제거하는 동안에도 지사는 bob World 목표를 달성하기 위해 가짜 번호를 대량으로 추가한 것으로 알려졌습니다.

Whistleblower 1은 bob World 사기가 과도한 수의 은행 계좌가 직원의 휴대폰 번호와 연결되는 주된 이유라고 말했습니다.

제보자 2는 이유를 하나 더 들었다. 휴대전화가 없는 사람이 은행 계좌를 개설할 때 일부 직원이 기록해 두어야 한다고 주장해 은행 직원이 본인 또는 영업점의 공식 휴대전화 번호를 고객 번호로 입력한다. .

Whistleblower 2는 이 관행이 공공연한 비밀이며 작년 bob World 등록 캠페인 중에 유용했다고 말했습니다. 그는 캠페인을 위한 노드 담당관으로 지점에 파견된 사람 중 한 명이었고, 그의 지역 사무실은 직원의 휴대폰 번호를 사용하여 모든 계정을 앱에 등록하도록 노드 담당관에게 요청했습니다.

청소 운동을 촉발시킨 원인은 명확하지 않습니다.

손상된 계정

승인되지 않은 휴대폰 번호를 연결하면 등록된 휴대폰 번호를 가진 사람이 계정에 액세스하고 온라인 뱅킹 암호를 변경 하고 새 ATM 카드를 확보하고 은행 계좌를 지우는 등의 작업을 수행할 수 있으므로 고객이 사기 위험에 노출됩니다. 요컨대, 그들은 디지털 세계에서 계정 소유자가 될 수 있습니다. Uttar Pradesh의 Bank of Baroda 고객은 2021년 등록된 휴대폰 번호가 만료되어 150만 루피(18,150달러)를 잃었고 모바일 뱅킹 액세스를 도용한 다른 사람에게 재할당되었습니다.

법의학 자문 서비스 회사인 Ocurisc Consulting의 공동 설립자인 법의학 회계사이자 공인 사기 조사관인 Nikhil Parulkar는 1,300개의 휴대폰 번호가 62,000개의 은행 계좌와 연결된 이유에 대해 데이터 입력 오류 또는 내부 사기라는 두 가지 가능한 설명만 있다고 말했습니다.

20년 동안 은행 및 컨설팅 부문에 종사한 Parulkar는 다음과 같이 덧붙였습니다. 감독으로 정당화될 수 있는 경우는 거의 없습니다.”

그는 백엔드에서 앱 등록 주장이 사실이라면 이는 은행 측의 중대한 위법 행위라고 말했다. 그는 가짜 휴대폰 번호를 은행 계좌에 추가하는 것은 정보 보안 손상, 개인 정보 보호 문제 및 사기를 포함하여 보안에 영향을 미친다고 지적했습니다.

“어느 시점에 계정 소유자의 돈이 손상될 것입니다. 돈이 없어질 수 있다"고 말했다.

Al Jazeera는 Bank of Baroda 고객들이 자신의 전화번호가 여러 계정에 등록된 것으로 보아 휴대전화 번호가 연결된 은행 계좌를 통해 송금된 금액이 다른 사람의 은행 계좌로 들어갔다고 주장하는 트윗을 발견했습니다. 한 사람은 이런 식으로 25,000루피($302)를 잃었다고 썼고 , 다른 사람은 그녀가 1년 동안 2,500루피($30), 1,500루피($18) 등을 잃었다고 썼습니다 .

공격적인 등록 목표

인도 정부가 디지털 뱅킹을 강력하게 장려하고 저현금 경제로의 전환을 추진함에 따라 이 스캔들은 고객 자금의 안전에 그림자를 드리우고 은행이 민감한 금융 정보를 함부로 처리하는 방식을 조명합니다. Parulkar는 가능한 모든 수단을 통해 숫자(이 경우 앱 등록)를 늘리려는 노력은 불공정한 비즈니스 관행을 감지하고 방지하기 위한 내부 통제, 정기적인 모니터링 및 보고 메커니즘이 부족함을 의미한다는 데 동의했습니다.

Whistleblower 1의 지점 자체는 기록 보관, 규칙 및 규정 준수, 안전한 은행 관행과 같은 다양한 은행 활동에 대한 의무적이고 정기적인 감사를 받았습니다. 그러나 내부 감사인은 고객의 동의서를 교차 확인해야 하는 책임이 있음에도 불구하고 비윤리적인 프로세스를 표시하지 못한 것으로 보입니다.

불법적인 방식으로 숫자를 채우는 은행 사례가 늘면서 신탁이 무너지고 있다. 이전에 The Reporters' Collective의 조사 에 따르면 인도 전역의 은행들이 고객이 필요하지 않거나 요청하지 않은 연방 정부의 여러 보험 및 연금 제도에 대해 고객에게 청구한 방법이 밝혀졌습니다. 그들은 백엔드에서 직접 또는 잘못된 판매를 통해 동의 서명을 얻어 보험 및 연금 제도에 고객을 등록했습니다.

bob World 등록과 관련하여 Bhopal 및 Baroda 구역(각각 Whistleblower 1과 은퇴한 임원이 대규모 부정 행위를 주장한 곳)은 다른 구역 사무소에서 지역 관리자에게 벤치마크로 인용되었습니다.

'Bhopal과 Baroda는 하루 만에 45,000개 이상 및 38,000개 이상의 bob World를 활성화하여 우수성의 높은 기준을 세웠습니다. [화면 캡처]

Bank of Baroda는 2021년 9월 야심찬 디지털화 추진의 일환으로 bob World를 출시했습니다. 은행은 이 앱의 사용자가 현재 500만 명이라고 주장합니다. 2021년 Bank of Baroda는 Indian Banks' Association Banking Technology Awards에서 최고의 기술 은행으로 인정받았습니다. 또한 지난 2회 Business Today-KPMG Best Banks Awards에서 핀테크 이니셔티브 최우수 은행으로 선정되었습니다.

그러나 공격적인 등록 목표는 나쁜 행동을 부추겼습니다. 3월 24일 가입 캠페인에서 발생한 것으로 추정되는 내부 대화는 다음 날 소셜 미디어에서 쏟아져 나왔고 은행 직원은 공개적으로 은행 경영진( 여기 , 여기 , 여기 )을 불렀습니다. 분노는 몇몇 은행 직원의 트위터 에코 챔버에서 사망했으며 언론에 보도되지 않았습니다. Whistleblower 1은 그의 지역 사무소가 그 후 bob World 등록을 위해 지점을 괴롭히는 것을 중단했지만 작년 말 Uttar Pradesh 시골에 있는 은행 지점의 동료로부터 그들이 bob World 가입에 대한 압력을 여전히 받고 있으며 기만적인 솔루션에 의존하고 있다는 소식을 들었습니다.

가난한 사람들에게 앱을 강요하다

여러 지점의 Bank of Baroda 직원 몇 명이 앱 등록을 늘리기 위해 찾은 또 다른 해결 방법에 대해 Al Jazeera에 말했습니다. 은행 직원들은 이들의 심카드를 가져다가 직원의 허락을 받아 영업점 공식 태블릿이나 직원의 스마트폰에 삽입해 가입했다. 담당자들은 그런 고객들을 지점으로 불러서 개별적으로 이렇게 가입하겠다고 했다.

작년 한 지점에서 입회 캠페인을 총괄한 제보자 2는 그러한 지름길에 대한 아이디어가 지역 사무소와 본사에서 나왔다고 말했다. 그는 상급 사무실이 많은 수의 지점에서 그러한 전술에 대해 배우고 노드 임원에게 이를 모방하도록 조언할 것이라고 말했습니다. 그는 지역 사무소가 동일한 가족 및 동일한 등록된 휴대폰 번호를 가진 고객의 지점 목록을 보내서 그러한 고객 한 명을 설득하여 휴대폰 번호를 앱에 여러 번 등록 및 등록 해제할 수 있다고 말했습니다.

보팔 지역의 한 시골 지부의 직원은 보복이 두려워 익명을 요구하면서 작년 3월 24일 등록 캠페인을 위해 지역 사무소에서 그러한 목록을 받았다고 알 자지라에 말했습니다. Al Jazeera는 이메일과 목록의 사본을 가지고 있습니다. 직원은 마을 사람들에게 전화를 걸어 지점으로 오라고 요청한 다음 가족의 모든 계정 소유자를 bob World에 등록했습니다. 그의 주장에 마지못해 몇 명의 마을 사람들이 밤 9시까지 들어왔다.

은행 보팔 구역의 내부 이메일에는 bob World 등록을 용이하게 하기 위해 지점이 오후 10시까지 열려 있다고 명시되어 있습니다. [화면 캡처]

익명을 요청한 라자스탄의 한 장교는 알 자지라에 또 다른 특수 효과를 설명했습니다. 그는 자신의 지점이 미숙련 노동자와 일일 베팅을 유치하기 위해 제로 잔액 계정을 개설하는 캠페인을 시작했으며 동의 없이 bob World에 모두 가입했다고 말했습니다. 그는 직원이 노동자들에게 앱이 그들의 돈과 연결되어 있다고 알리고 조심하는 사람들을 위해 쉽게 제거했다고 말했다.

경찰관은 간신히 생계를 유지하는 사람들을 위해 디지털 뱅킹을 활성화하는 것이 아이러니하다고 지적했습니다.

"결국 숫자 [목표]를 충족하고 빵과 버터를 절약하려면 그런 일을 해야 합니다."

그러한 캠페인에서 일을 완수하지 못하면 직원이 징계 조치를 받고 상급자로부터 욕설을 퍼붓는 위험에 처하게 됩니다.

은행은 bob World에 적은 수의 등록에 대해 직원들에게 이유 있는 통지를 발행했으며, 따라서 많은 사람들이 훅이나 사기꾼을 통해 높은 수를 등록하기 위해 경쟁합니다 [스크린 캡처]'제자리에 통제'

Bank of Baroda의 내부 이메일은 가짜 휴대폰 번호를 연결 해제해야 하는 은행 계좌를 추천하도록 지점에 요청했기 때문에 인도의 정보권법에 따라 Al Jazeera는 은행에 몇 개의 지점이 동일한 추천을 보냈고 2022년에 얼마나 많은 계좌가 추천되었는지 물었습니다. .

Al Jazeera는 또한 중복 휴대폰 번호 삭제와 관련하여 지사 및/또는 지역 사무소에 보낸 모든 이메일, 편지 및 회람의 사본을 찾았습니다. 은행은 내부 고발자의 지역 사무소가 지점에 보낸 이메일에 "휴대폰 번호 제거/수정 프로세스는 뒤에서 중앙에서 수행해야 한다"고 명시되어 있지만 이러한 데이터를 유지하지 않는다고 답했습니다.

또한 Al Jazeera는 Bank of Baroda에 bob World에 가입하고 앱을 종료한 사용자 수에 대한 월별 목록을 요청했습니다. 은행은 그것이 영업비밀이며 공개가 면제된다며 거절했다.

Al Jazeera의 질문에 대해 은행 대변인은 이메일에서 다음과 같이 말했습니다. bob World 모바일 뱅킹 앱은 동일한 휴대폰 번호에 두 번 이상 연결할 수 없습니다. 또한 은행 계좌에 휴대폰 번호를 등록하거나 변경하려면 고객이 직접 은행 영업점을 방문하여 2단계 인증 절차를 거쳐야 하며, 이후 24시간 후에 휴대폰 번호가 활성화됩니다.

“은행 계좌와 휴대전화 번호 1개 연동에 대한 질문에 대해 은행은 등록된 [우편] 주소가 동일한 경우 하나의 휴대전화 번호를 8개의 고객 ID로 제한했습니다. 이 시설은 같은 가족에 속한 고객에게 편의를 제공합니다.”

은행은 내부고발자 1이 공유한 이메일의 진위를 부인하지 않았으며, 한 전화번호로 몇 개의 계좌를 연결할 수 있는지에 대한 제한에도 불구하고 얼마나 많은 계좌가 같은 휴대전화로 연결되었는지에 대해서는 답변하지 않았다.

제보자 1은 이에 휘말린 데 대해 깊은 실망감을 드러냈다. "나는 이것에 대해 너무 절망적이었습니다. "라고 그는 말했습니다. "저는 사무실에 오후 10시까지 앉아 있는데 지역 사무소에서 사람이 와서 우리에게 이 일을 시키려고 합니다. 여기가 은행인가요 아니면 다른 곳인가요?"

Hemant Gairola는 The Reporters' Collective의 준회원입니다.

출처 : 알 자지라