近日,法国安全研究员Baptiste Robert(推特ID:Elliot Alderson)在一名不愿透露姓名的印度安全研究员的帮助下发现了印度国有液化石油气公司Indane官方网站的一个安全漏洞。该漏洞被证实会导致数百万用户的个人信息泄露,包括他们的Aadhaar号码。
什么是Aadhaar号码?
Aadhaar号码是印度×××管理局(UIDAI)向每一位印度公民发行的一个唯一的12位×××明编号,并与姓名、出生日期和生物特征信息(如指纹、虹膜)等基本人口信息相关联,而这些数据被集中存储在印度国家生物身份识别系统(UID,又称Aadhar)中。
每一位印度公民都可以通过在线登录该系统来进行身份识别,同时还能通过该系统来进行与医疗、社保、培训、驾照、就业等相关服务的申请。另一方面,印度政府各部门也可以通过该系统来进行有针对性的补贴和福利发放,对公民健康状况等进行监测,进而有效提供医疗和防疫等公共服务。
截止到2015年9月,印度政府就完成了对8.2亿印度公民的生物识别数据采集工作,即印度全国人口的67%。此外,印度政府还试图将Aadhaar号码以强制性的方式应用于涵盖政府和私营企业的一切服务。
数据泄露源于Indane官网的一个漏洞
据称,这个漏洞最初是由一名不愿透露姓名的印度安全研究员于本周早些时候在Indane官网上发现的。该漏洞的存在使得任何人都能够访问与Indane旗下经销商相关的数十万用户的个人信息,且不需要任何身份验证。
由于印度政府在对待安全研究人员方面并不那么“友善”,为了不给自己带来麻烦,这名印度安全研究员最终选择了与Baptiste Robert分享他的发现。
在对这个漏洞进行分析之后,Baptiste Robert发现恶意***者实际上可以从Indane官网获取到数百万而不是数十万印度公民的个人信息,前提是他们需要知道Indane旗下经销商的用户名。而Baptiste Robert后来发现,想要获取这些经销商的用户名并不困难,只需要利用Indane官方移动应用程序中的一个漏洞即可。
结合Indane APP漏洞发现数百万用户个人信息
根据Baptiste Robert的说法,利用Indane官方移动应用程序的一个漏洞,他成功找到11062个有效的Indane经销商用户名。通过使用其中的9490个用户名,他一共获取到了580万用户的个人数据,包括他们的Aadhaar号码、姓名和住址。
“不幸的是,Indane似乎阻止了我的IP,因此我没有能够测试剩余的1572家经销商。通过一些基本的数学计算,我估计受影响用户的最终数字约为6791200。”Baptiste Robert在其发表的文章中写道。
Baptiste Robert于2月15日与Indane分享了他的调查结果,并在收到该公司的回复之后,于本周二(2月19日)进行了公开披露。
Indane公司的官方回应
作为对此次事件的回应,Indane的母公司印度石油公司(Indian Oil Corporation)通过其官方推特发布了一份声明,并表示:“Indane网站并没有泄露Aadhaar数据。”
在这份一份声明中,该公司并不承认其用户数据遭到了泄露,而是试图为Aadhaar和印度政府进行辩护。这份声明写道:“印度石油公司只获取了领取液化石油气补贴所需的Aadhaar号码,并不包括与Aadhaar相关的其他细节。因此,Aadhaar数据不可能通过我们泄露。”
然而,外媒The Hacker News表示他们已经对Baptiste Robert提供的数据库样本进行了测试,并确认Indane网站的虽然不会在网页显示用户的Aadhaar号码,但实际上可以通过链接到每个用户ID的超链接进行查看。