圖片來源: 

Elliot Alderson

又是缺乏身分認證機制惹的禍!法國資安研究人員Elliot Alderson披露,印度國營的瓦斯服務Indane所設立的網站因完全不設防,而讓任何人得以存取用戶的個人資料,包括Aadhaar數位身分證號碼,估計影響逾670萬名的印度民眾。

Indane為印度國營石油暨天然氣公司IndianOil旗下的瓦斯(LPG)品牌,也是全球第二大的瓦斯供應商,在印度有超過9,000萬個家庭是Indane的客戶。

Alderson說,他在今年1月從Twitter收到一則私人訊息,提供他一個可以存取Indane用戶資料的網址,追查後發現這是Indane的經銷入口網站,只要得知經銷商的名稱就能存取旗下用戶資料,包括姓名、地址,以及Aadhaar數位身分證號碼。

為了取得經銷商的名單,Alderson下載了Indane的行動程式,藉由程式找到了Indane各地的批發商資訊,並透過自行打造的Python腳本程式,取得了11,062個有效的經銷商名單,該腳本程式還能變更網址上的經銷商參數,以進入每個經銷商的用戶資料庫,一天後程式即測試了9,490個經銷商,發現了5,826,116名用戶資料。

不過,Indane似乎察覺Alderson的行動,封鎖了他的IP,根據先前的數據,Alderson推估此法應該可以找到6,791,200名的Indane用戶資料。

Alderson在2月15日知會了Indane,卻未收到回應,於是選擇在4天後公開揭露。


Advertisement

更多 iThome相關內容