Hindistonning Indane gaz kompaniyasi veb-saytida millionlab mijozlarning ma’lumotlari fosh qilindi
Ushbu zaiflik har kimga yuz minglab mijozlarning noyob Aadhaar raqamlariga hech qanday autentifikatsiyasiz kirish imkonini berdi.
Hindistonning suyultirilgan neft gazi kompaniyasi Indane veb-saytida 6,7 million mijozning ma’lumotlari, jumladan, Aadhaar raqamlari (Hindistonning milliy identifikatsiya tizimi) ni oshkor qildi.
Ma’lumotlar sizib chiqishi haqida «Elliot Alderson» taxallusi bilan ham tanilgan fransuz axborot xavfsizligi bo’yicha mutaxassisi Baptist Robert xabar berdi. Hodisa Hindiston rasmiylarining qasosidan qo’rqib, ismini oshkor qilishni istamagan hindistonlik mutaxassis tomonidan e’tiborga olindi.
Indane dilerlik veb-saytida aniqlangan zaiflik har kimga yuz minglab mijozlar va ular bilan bog’liq dilerlarning ismlari, manzillari va noyob Aadhaar raqamlariga hech qanday autentifikatsiyasiz kirish imkonini berdi.
Tahlil davomida Robert rasmiy Indane mobil ilovasida yana bir zaiflikni aniqladi, bu esa istalgan dilerning identifikatorini olish va undan millionlab Hindiston fuqarolarining ma’lumotlarini o’g’irlash uchun foydalanish imkonini beradi.
Tadqiqotchi 11 062 ta haqiqiy identifikatorni topdi, ulardan 9 490 tasi 5,8 million foydalanuvchining shaxsiy ma’lumotlariga, jumladan, Aadhaar raqamlari, ismlari va yashash manzillariga kirish uchun ishlatilgan.
15-fevral kuni Rober zaiflik haqidagi ma’lumotni Indane bilan baham ko’rdi. 19-fevral kuni u kompaniyadan javob olmagan holda ma’lumotni ommaga e’lon qildi.
Bunga javoban, Indane egasi Indian Oil Corp., Indane veb-saytidan Aadhaar ma’lumotlarining sizib chiqishini rad etuvchi bayonot berdi. Kompaniya Indian Oil faqat Aadhaar raqamlarini saqlashini va autentifikatsiya xizmatiga tegishli boshqa ma’lumotlarni saqlamasligini ta’kidladi. Indane vakillari, shuningdek, veb-sayt Aadhaar raqamlarini saqlamasligini ta’kidladilar.
Biroq, The Hacker News jurnalistlari Robert tomonidan tuzilgan ma’lumotlar bazasining bir qismini ko’rib chiqib, kompaniya veb-saytida Aadhaar raqamlari mavjudligini tasdiqladilar, lekin to’g’ridan-to’g’ri veb-sahifada emas, balki mijoz identifikatorlari bilan bog’liq URL manzillarda.
