印度網絡安全專家兼道德黑客 Gokuleswaran B 對某些不安全直接對象引用 (IDOR) 敏感性發出了警報,這些敏感性在印度郵局門戶網站上暴露了 Aadhaar 數字 ID 和其他了解你的客戶 (KYC) 個人詳細信息。
IDOR 是一種網絡安全漏洞,如果沒有適當的用戶輸入驗證機制,當不良行為者操縱 URL、請求參數或 API 端點以獲取對系統的未經授權的訪問時,IDOR 會促進敏感數據的訪問。
在一個敘述在 System Weakness 發表的文章中,這位道德黑客講述了他與印度政府網站互動的經歷,他注意到郵局門戶存在漏洞,導致數千個個人數據詳細信息受到損害。
他解釋說,該門戶可用於通過玩弄門戶 URL 上的數字來訪問敏感的個人數據信息。他說,他操縱了網站的 URL,網站通過顯示敏感的個人數據來響應他的請求。
Gokuleswaran 表示,門戶網站上容易被利用的數據包括 Aadhaar 生物識別數字 ID、PAN 號碼、電子郵件地址和電話號碼,僅舉幾例。
注意到這些危險的漏洞後,這名道德黑客表示,他讓有關當局了解這一情況,這是正確的做法,並強調了允許此類個人數據可能暴露給網絡犯罪分子的危險。
專家警告說,有效填補此類漏洞的漏洞非常重要,因為由此產生的任何數據洩露都可能導致大規模身份盜竊、網絡釣魚攻擊和詐騙以及違反監管規定。
據報導,印度計算機應急響應小組 (CERT-In) 已註意到這一情況,並建議公共實體和組織必須採取措施,以避免 IDOR 造成的違規行為。根據網絡安全新聞。
就在郵局推出用於開設儲蓄銀行賬戶等服務的數字 KYC 系統幾週後,郵局門戶網站上的 IDOR 漏洞被曝光。
該系統於 1 月 6 日開始實施,即客戶需要使用其 Aadhaar 生物識別 ID 完成 KYC 的日期,如下所示報導印度時報報導。
根據 1 月 1 日發布的指令,該措施將從涉及新客戶的銀行登記交易開始分階段執行。
在實施的後期階段,儲蓄和存款等不同類型賬戶的開立和關閉以及與銀行業務相關的其他方面將需要使用 Aadhaar 生物識別驗證的 KYC。
近日,印度唯一身份識別機構(UIDAI)通報為私營和公共部門實體提供出於公共利益考慮的不同服務。多家提供金融服務的機構對於這個 Aadhaar 身份驗證方案。
文章主題
|||||
