昨天搞人站,今天爆裤子,活该。
Aadhaar是什么
2010年9月,世界上最庞大最复杂的生物身份识别系统(UID,又称Aadhaar项目)在印度马哈拉施特拉邦一个部族村落里宣布启动。该项目由印度身份管理局(UIDAI)执行,截止2017年2月28日,该项目已经针对其全国11.2亿人实施了生物识别数据采集(包括照片、十指指纹以及虹膜扫描等),为每个印度居民提供一个独一无二的12位身份证明编号。
由于该身份证明编号与手机号和银行账户绑定,印度工贸可在网上进入数据库进行身份识别和手机“实时”验证,同时还能享受医疗、社保、培训、申请驾照、就业等服务;政府部门可以有针对性的向居民进行补贴和福利发放,对居民健康情况等进行检测,有效提供医疗和防疫等公共服务,并实现行政流程的实时改进。
这一次,印度的国有天然气公司Indane留下了其经销商和经销商网站的一部分,尽管它只能通过有效的用户名和密码访问。
但该网站的部分内容已在Google中编入索引,允许任何人完全绕过登录页面并获得对经销商数据库的自由访问权限。
这些数据是由一名安全研究人员发现的,他因为害怕印度当局的报复而要求保持匿名。
据称,Aadhaar的监管机构印度唯一身份识别机构(UIDAI)会迅速驳回有关数据泄露或暴露的报道,称重要新闻文章为“假新闻”, 并威胁采取法律行动并向警方提起 诉讼。
法国安全研究员巴蒂斯特·罗伯特(Baptiste Robert)有调查Aadhaar暴露事件的经验,调查曝光并将结果提供给TechCrunch。
他使用定制脚本来挖掘数据库,找到11,000个经销商的客户数据,包括客户的姓名和地址,以及隐藏在每条记录链接中的客户机密Aadhaar号码。
通过官方APP的查询经销商的接口。
按发包顺序可以推测出全部操作。
编写的爬取python脚本
罗伯特在博客文章中更多地了解了他的调查结果,在他的IP被封锁之前发现了580万Indane客户记录。总而言之,罗伯特估计受影响的总人数可能超过670万客户。
TechCrunch使用UIDAI自己的基于网络的验证工具验证了网站上的Aadhaar数字样本。每条记录都属实。
屏幕截图显示了对Indane经销商门户的未经身份验证的访问,其中包括数百万印度公民的敏感信息。这是一个拥有4,034名客户的经销商。
这是涉及Aadhaar数据的最新安全泄露事故,以及第二次由于Indane的原因导致泄露。
去年,发现泄漏的数据来自一个与Aadhaar数据库直接连接的终端。然而,这次泄漏被认为仅限于其自身的数据。
据说Indane在印度拥有超过9000万客户。(同样是天然气能源公司)
Aadhaar号码不是秘密,但被视为机密和私人信息,类似于社会安全号码。印度90%以上的人口,约12.3亿公民,都在Aadhaar注册,政府和一些私营企业用它来验证身份。
政府使用Aadhaar为公民提供国家服务,如投票或申请福利或经济援助。一些公司还推动客户将他们的银行账户或电话服务注册到他们的Aadhaar身份,但这最近被该国的最高法院驳回。许多人说他们将他们的Aadhaar身份与他们的银行账户联系起来导致欺诈。
这一曝光可能会重新引发人们对Aadhaar系统不如UIDAI声称的安全性的担忧。尽管很少有安全事件涉及直接违反Aadhaar的中央数据库,但最薄弱的环节仍然是依赖数据的公司或政府部门。
目前研究员联系了Indane和UIDAI,但没有收到回复。
相关地址
https://medium.com/@fs0c131y/indane-leaked-aadhaar-numbers-6-700-000-aadhaar-numbers-3948135239f6
https://techcrunch.com/2019/02/18/aadhaar-indane-leak/
历史Aadhaar泄露事件:
https://techcrunch.com/2019/01/30/state-bank-india-data-leak/
http://securityaffairs.co/wordpress/65758/data-breach/uidai-aadhaar-data-leak.html
更多情报,欢迎加入知识星球