ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ของอินเดียและแฮ็กเกอร์ที่มีจริยธรรม Gokuleswaran B ได้เพิ่มความไวต่อการอ้างอิงวัตถุโดยตรง (IDOR) ที่ไม่ปลอดภัย (IDOR) ซึ่งเปิดเผย Aadhaar Digital ID และรายละเอียดส่วนบุคคลของลูกค้า (KYC) ของคุณเกี่ยวกับพอร์ทัลของที่ทำการไปรษณีย์อินเดีย
IDOR เป็นความปลอดภัยในโลกไซเบอร์ที่อำนวยความสะดวกในการเข้าถึงข้อมูลที่ละเอียดอ่อนเมื่อนักแสดงที่ไม่ดีจัดการ URL, ขอพารามิเตอร์หรือจุดสิ้นสุด API เพื่อให้เข้าถึงระบบโดยไม่ได้รับอนุญาตหากไม่มีกลไกการตรวจสอบอินพุตของผู้ใช้ที่เหมาะสม
ในคำบรรยายเผยแพร่โดย System Bleakness The Ethical Hacker เล่าถึงประสบการณ์ของเขาที่มีปฏิสัมพันธ์กับเว็บไซต์ของรัฐบาลอินเดียซึ่งเขาสังเกตเห็นว่าพอร์ทัลที่ทำการไปรษณีย์มีช่องโหว่ที่วางรายละเอียดข้อมูลส่วนบุคคลหลายพันรายในทางที่เป็นอันตราย
เขาอธิบายว่าพอร์ทัลสามารถใช้ในการเข้าถึงข้อมูลส่วนบุคคลที่ละเอียดอ่อนโดยการเล่นกับตัวเลขบน URL ของพอร์ทัล เขาบอกว่าเขาจัดการ URL ของเว็บไซต์ในลักษณะที่ตอบสนองต่อคำขอของเขาโดยการเปิดข้อมูลส่วนบุคคลที่ละเอียดอ่อน
ประเภทของข้อมูลที่เหลืออยู่นั้นมีความเสี่ยงต่อการถูกเอารัดเอาเปรียบบนพอร์ทัลตาม Gokuleswaran รวมถึงรหัสดิจิตอล Aadhaar Biometric หมายเลข PAN ที่อยู่อีเมลและหมายเลขโทรศัพท์
สังเกตเห็นช่องโหว่ที่เป็นอันตรายแฮ็กเกอร์จริยธรรมกล่าวว่าเขาทำสิ่งที่ถูกต้องโดยทำให้เจ้าหน้าที่ที่เกี่ยวข้องตระหนักถึงสถานการณ์โดยเน้นถึงอันตรายของการอนุญาตให้ข้อมูลส่วนบุคคลดังกล่าวอาจสัมผัสกับอาชญากรไซเบอร์
ผู้เชี่ยวชาญเตือนว่าเป็นสิ่งสำคัญที่จะต้องเสียบช่องว่างอย่างมีประสิทธิภาพสำหรับช่องโหว่เช่นการละเมิดข้อมูลใด ๆ ที่เกิดขึ้นจากพวกเขาอาจนำไปสู่การขโมยข้อมูลประจำตัวครั้งใหญ่การโจมตีแบบฟิชชิ่งและการหลอกลวงรวมถึงการละเมิดกฎระเบียบ
ทีมงานตอบโต้ฉุกเฉินคอมพิวเตอร์ของอินเดีย (CERTIN) ได้รับการรายงานว่าได้รับทราบถึงสถานการณ์และได้แนะนำมาตรการที่หน่วยงานสาธารณะและองค์กรต้องปรับใช้เพื่อหลีกเลี่ยงการละเมิดที่เปิดใช้งาน IDORตามถึงข่าวความปลอดภัยทางไซเบอร์
การเปิดเผยช่องโหว่ของ Idor ในพอร์ทัลที่ทำการไปรษณีย์เกิดขึ้นเพียงไม่กี่สัปดาห์หลังจากที่ทำการไปรษณีย์แนะนำระบบ KYC ดิจิตอลสำหรับบริการเช่นการเปิดบัญชีเงินออม
การดำเนินการของระบบได้ดำเนินการในวันที่ 6 มกราคมวันที่ลูกค้าจำเป็นต้องทำ KYC ให้เสร็จสมบูรณ์โดยใช้รหัสไบโอเมตริกซ์ Aadhaarรายงานตามเวลาของอินเดีย
ตามคำสั่งที่ออกเมื่อวันที่ 1 มกราคมมาตรการจะดำเนินการในลักษณะที่เป็นระยะเริ่มต้นด้วยธุรกรรมการลงทะเบียนธนาคารที่เกี่ยวข้องกับลูกค้าใหม่
ในส่วนต่อมาของการดำเนินการ KYC ที่ใช้การตรวจสอบไบโอเมตริกซ์ Aadhaar จะจำเป็นสำหรับการเปิดและปิดบัญชีประเภทต่าง ๆ เช่นการออมและเงินฝากรวมถึงด้านอื่น ๆ ที่เกี่ยวข้องกับการดำเนินงานธนาคาร
เมื่อเร็ว ๆ นี้ผู้มีอำนาจประจำตัวที่ไม่ซ้ำกันของอินเดีย (UIDAI) สื่อสารสำหรับหน่วยงานภาคเอกชนและภาครัฐสำหรับบริการที่แตกต่างกันที่พิจารณาเพื่อประโยชน์สาธารณะ หลายสถาบันที่ให้บริการทางการเงินสำหรับรูปแบบการรับรองความถูกต้องของ Aadhaar นี้
หัวข้อบทความ
-----
