14.10.2023 | Индийские пальчики утекли в сеть: ошибка портала e-District привела к масштабной компрометации данных |
Независимый исследователь в области цифровой безопасности заявил о наличии бага на правительственном веб-сайте штата Западный Бенгал в Индии. Благодаря ошибке любой желающий мог получить доступ к конфиденциальным идентификационным документам местных жителей и многой другой личной информации. Исследователь Саураджит Маджумдер обнаружил брешь на портале e-District , который позволяет жителям штата получать онлайн-услуги от правительства, такие как свидетельства о рождении, смерти и прочие справки. Маджумдер заявил, что благодаря ошибке можно было получить документы на землю, которые содержат записи о владельцах участка земли, угадав порядковые номера заявок на получение этих документов. Получив доступ к номеру идентификации заявки, любой пользователь с учётной записью в системе e-District мог получить копию документа о праве собственности. Добытые таким образом данные содержали имена людей, связанных с документом, их фотографии и даже полный набор отпечатков пальцев обеих рук.
Также в документах были указаны государственные идентификационные документы, включая конфиденциальные AADHAAR -номера, которые являются частью национальной базы данных идентификации и биометрии Индии. Эти номера необходимы для доступа к банковским услугам, мобильной связи и многим государственным услугам. Маджумдер сообщил об уязвимости команде по реагированию на компьютерные чрезвычайные ситуации Индии, известной как CERT-In , а также правительству Западного Бенгала. Учитывая его серьёзность, баг был устранён в кратчайшие сроки. Пока неизвестно, обнаружил ли кто-то ещё кроме Маджумдера этот баг. Представители правительства Западного Бенгала и CERT-In не ответили на запросы о комментариях. На сайте e-District указано, что на сегодняшний день в сервисе было обработано более 17 миллионов заявок, но неизвестно, сколько из них связано с документами о праве собственности. Местные СМИ в последние месяцы также сообщают о росте мошенничества, связанного с предполагаемой кражей биометрической информации, которую преступники затем используют для опустошения банковских счетов граждан. |
Проверить безопасность сайта