印度网络安全专家和道德黑客Gokuleswaran B在某些不安全的直接对象参考(IDOR)概念上提出了警报,这些概念暴露了Aadhaar Digital ID,而其他人知道您的客户(KYC)在印度邮局门户网站上的个人详细信息。
IDOR是一个网络安全失效,当不良演员操纵URL,请求参数或API端点时,如果没有适当的用户输入验证机制,则可以访问敏感数据。
在叙述道德黑客以系统弱点出版,讲述了他与印度政府网站互动的经验,在那里他注意到邮局门户网站有脆弱性,这些脆弱性会以危害方式放置成千上万的个人数据细节。
他解释说,该门户可用于通过在门户网站上使用数字来访问敏感的个人数据信息。他说,他以一种敏感的个人数据来响应他的请求,操纵了该网站的URL。
根据Gokuleswaran的说法,该数据易于在门户网站上开发,其中包括Aadhaar Biotitric数字ID,PAN号码,电子邮件地址和电话号码,只需提及这几个即可。
道德黑客注意到危险的脆弱性,他说,他做了正确的事情,使相关当局意识到了这种情况,并强调了允许这种个人数据潜在地暴露于网络犯罪分子的危险。
专家警告说,重要的是要有效地填补漏洞的漏洞,因为漏洞违反了这些漏洞,可能导致大规模的身份盗用,网络钓鱼攻击和骗局以及违规行为。
据报道,印度的计算机紧急响应小组(CERT-IN)已经注意到了情况,并建议采取公共实体和组织必须部署的措施,以避免支持IDOR的违规行为,根据到网络安全新闻。
邮局门户网站上的Dor脆弱性启示出现在邮局引入数字KYC系统(例如开设储蓄银行帐户)之后的几周。
该系统的实施将于1月6日开始,该日期是使用其Aadhaar Biotitic ID完成KYC的日期,作为报告在印度时代。
根据1月1日发布的指令,该措施将以分阶段的方式执行,从涉及新客户的银行注册交易开始。
在实施的后期,使用Aadhaar生物识别验证的KYC需要开设和关闭不同种类的账户,例如储蓄和存款,以及与银行业务相关的其他方面。
最近,印度的唯一身份证局(UIDAI)传达了用于私人和公共部门实体用于公共利益的不同服务。提供金融服务的几个机构对于此Aadhaar身份验证方案。
文章主题
|||||
