India Reservpank lõi 2025. aastal alamdomeeni .bank.in ja kohustas kõiki kohalikke panku seda oma veebiaadressides kasutama, et raskendada andmepüügi ja pettuste toimepanekut. Domeenide ainsaks registripidajaks määrati Institute for Development and Research in Banking Technology (IDRBT).
Turvauurija Srikanth L ja rühmitus CashlessConsumer avaldasid raporti, mille kohaselt jättis IDRBT registreerimisportaali (registrar.idrbt.ac.in) tervelt 13 kuuks ilma korraliku turvaauditi ja autentimiseta. Üle 33 avatud REST API lõpp-punkti võimaldas igaühel curl-käsuga alla laadida 5576 pangatöötaja bcrypt-paroolide räsid, telefoninumbrid, e-posti aadressid, sisselogimise IP-d ja seadmete sõrmejäljed.
Lisaks selgus, et 80% registreeritud .bank.in domeenidest ei kasuta DNSSEC-i ja 40% ei rakenda DMARC e-posti turvaprotokolli. Mõned India pangad majutavad veebilehti USA, Singapuri ja Leedu jagatud serverites. Uurija teatas leidudest juuni alguses ning IDRBT on turvanõrkused parandanud. IDRBT, Reservpank ega India valitsus pole olukorda avalikult kommenteerinud.