近日,法國安全研究員Baptiste Robert(推特ID:Elliot Alderson)在一名不願透露姓名的印度安全研究員的幫助下發現了印度國有液化石油氣公司Indane官方網站的一個安全漏洞。該漏洞被證實會導致數百萬用戶的個人信息泄露,包括他們的Aadhaar號碼。
什麼是Aadhaar號碼?
Aadhaar號碼是印度身份證管理局(UIDAI)向每一位印度公民發行的一個唯一的12位身份證明編號,並與姓名、出生日期和生物特徵信息(如指紋、虹膜)等基本人口信息相關聯,而這些數據被集中存儲在印度國家生物身份識別系統(UID,又稱Aadhar)中。
每一位印度公民都可以通過在線登錄該系統來進行身份識別,同時還能通過該系統來進行與醫療、社保、培訓、駕照、就業等相關服務的申請。另一方面,印度政府各部門也可以通過該系統來進行有針對性的補貼和福利發放,對公民健康狀況等進行監測,進而有效提供醫療和防疫等公共服務。
截止到2015年9月,印度政府就完成了對8.2億印度公民的生物識別數據採集工作,即印度全國人口的67%。此外,印度政府還試圖將Aadhaar號碼以強制性的方式應用於涵蓋政府和私營企業的一切服務。
數據泄露源於Indane官網的一個漏洞
據稱,這個漏洞最初是由一名不願透露姓名的印度安全研究員於本週早些時候在Indane官網上發現的。該漏洞的存在使得任何人都能夠訪問與Indane旗下經銷商相關的數十萬用戶的個人信息,且不需要任何身份驗證。
由於印度政府在對待安全研究人員方面並不那麼「友善」,為了不給自己帶來麻煩,這名印度安全研究員最終選擇了與Baptiste Robert分享他的發現。
在對這個漏洞進行分析之後,Baptiste Robert發現惡意攻擊者實際上可以從Indane官網獲取到數百萬而不是數十萬印度公民的個人信息,前提是他們需要知道Indane旗下經銷商的用戶名。而Baptiste Robert後來發現,想要獲取這些經銷商的用戶名並不困難,只需要利用Indane官方移動應用程序中的一個漏洞即可。
結合Indane APP漏洞發現數百萬用戶個人信息
根據Baptiste Robert的說法,利用Indane官方移動應用程序的一個漏洞,他成功找到11062個有效的Indane經銷商用戶名。通過使用其中的9490個用戶名,他一共獲取到了580萬用戶的個人數據,包括他們的Aadhaar號碼、姓名和住址。
「不幸的是,Indane似乎阻止了我的IP,因此我沒有能夠測試剩餘的1572家經銷商。通過一些基本的數學計算,我估計受影響用戶的最終數字約為6791200。」Baptiste Robert在其發表的文章中寫道。
Baptiste Robert於2月15日與Indane分享了他的調查結果,並在收到該公司的回覆之後,於本週二(2月19日)進行了公開披露。
Indane公司的官方回應
作為對此次事件的回應,Indane的母公司印度石油公司(Indian Oil Corporation)通過其官方推特發佈了一份聲明,並表示:「Indane網站並沒有泄露Aadhaar數據。」
在這份一份聲明中,該公司並不承認其用戶數據遭到了泄露,而是試圖為Aadhaar和印度政府進行辯護。這份聲明寫道:「印度石油公司只獲取了領取液化石油氣補貼所需的Aadhaar號碼,並不包括與Aadhaar相關的其他細節。因此,Aadhaar數據不可能通過我們泄露。」
然而,媒體The Hacker News表示他們已經對Baptiste Robert提供的數據庫樣本進行了測試,並確認Indane網站的雖然不會在網頁顯示用戶的Aadhaar號碼,但實際上可以通過鏈接到每個用戶ID的超鏈接進行查看。
來源:華人頭條來源:黑客視界
