印度網絡安全專家和道德黑客Gokuleswaran B在某些不安全的直接對象參考(IDOR)概念上提出了警報,這些概念暴露了Aadhaar Digital ID,而其他人知道您的客戶(KYC)在印度郵局門戶網站上的個人詳細信息。
IDOR是一個網絡安全失效,當不良演員操縱URL,請求參數或API端點時,如果沒有適當的用戶輸入驗證機制,則可以訪問敏感數據。
在敘述道德黑客以系統弱點出版,講述了他與印度政府網站互動的經驗,在那裡他注意到郵局門戶網站有脆弱性,這些脆弱性會以危害方式放置成千上萬的個人數據細節。
他解釋說,該門戶可用於通過在門戶網站上使用數字來訪問敏感的個人數據信息。他說,他以一種敏感的個人數據來響應他的請求,操縱了該網站的URL。
根據Gokuleswaran的說法,該數據易於在門戶網站上開發,其中包括Aadhaar Biotitric數字ID,PAN號碼,電子郵件地址和電話號碼,只需提及這幾個即可。
道德黑客注意到危險的脆弱性,他說,他做了正確的事情,使相關當局意識到了這種情況,並強調了允許這種個人數據潛在地暴露於網絡犯罪分子的危險。
專家警告說,重要的是要有效地填補漏洞的漏洞,因為漏洞違反了這些漏洞,可能導致大規模的身份盜用,網絡釣魚攻擊和騙局以及違規行為。
據報導,印度的計算機緊急響應小組(CERT-IN)已經註意到了情況,並建議採取公共實體和組織必須部署的措施,以避免支持IDOR的違規行為,根據到網絡安全新聞。
郵局門戶網站上的Dor脆弱性啟示出現在郵局引入數字KYC系統(例如開設儲蓄銀行帳戶)之後的幾週。
該系統的實施將於1月6日開始,該日期是使用其Aadhaar Biotitic ID完成KYC的日期,作為報告在印度時代。
根據1月1日發布的指令,該措施將以分階段的方式執行,從涉及新客戶的銀行註冊交易開始。
在實施的後期,使用Aadhaar生物識別驗證的KYC需要開設和關閉不同種類的賬戶,例如儲蓄和存款,以及與銀行業務相關的其他方面。
最近,印度的唯一身份證局(UIDAI)傳達了用於私人和公共部門實體用於公共利益的不同服務。提供金融服務的幾個機構對於此Aadhaar身份驗證方案。
文章主題
|||||
