Charlie Osborne 28 Şubat 2023, 14:15 UTC
Güncellendi: 28 Şubat 2023, 14:51 UTC
Kişisel veri parçalarıyla donanmış bir araştırmacı ayrıca 185 milyon vatandaşın PII’sine erişebilir
Bir araştırmacı, potansiyel olarak 185 milyon Hint vatandaşının kişisel olarak tanımlanabilir bilgilerine (PII) nasıl erişebildiğini ve önyükleme yapmak için sahte sürücü ehliyetleri oluşturabildiğini açıkladı.
20 Şubat’ta öğrenci ve siber güvenlik araştırmacısı Robin Justin, Hindistan Karayolu Taşımacılığı ve Karayolları Bakanlığı’nın web sitesi Sarathi Parivahan’ı etkileyen güvenlik açıklarının ayrıntılarını içeren bir blog yazısı yayınladı.
Portal, vatandaşların öğrenci belgesi veya sürücü belgesi için başvurmasına izin verir. Justin ikincisine başvurmaya çalışırken dakikalar içinde erişim kontrollerinin bozuk olduğu ve yetkilendirme kontrollerinin eksik olduğu uç noktalara rastladı.
‘Görünürde saklanıyor’
Kimlik doğrulaması için yalnızca bir başvuru numarasına ve başvuranın doğum tarihine ihtiyacınız vardı. Bununla birlikte, başvuru durumunu kontrol etmeyi amaçlayan bir uç nokta kusurluydu, bu nedenle bir saldırgan, ilgili başvuru sahibinin doğum tarihini, adını, adresini ve ehliyet numarasını öğrenmek için rastgele bir başvuru numarası sağlayabilir ve ayrıca kişinin bir fotoğrafını çekebilir. .
Rastgele uygulama numaralarını zorlamak zaman alıcı olacağından, Justin portalı daha fazla araştırdı ve başvuru numarasına erişmek için yalnızca bir telefon numarası ve kurbanın doğum tarihini gerektiren ikinci bir savunmasız uç nokta buldu.
BUNLARI DA BEĞENEBİLİRSİN Şifre yöneticisi güvenliği: Hangisi benim için doğru seçenek?
Birkaç dakika sonra araştırmacı, yöneticilerle sınırlandırılması amaçlanan bir kamu malı özelliği buldu. Bu özellik, Justin’in bir başvuru sahibi tarafından yüklenen belgelere erişmesine izin verdi – araştırmacı tarafından “herkesin kullanması için kelimenin tam anlamıyla göz önünde saklanan kritik derecede savunmasız bir son nokta” olarak tanımlandı.
Devam etti: “Burada maksimum etkiyi elde etmek için, bu savunmasız uç noktayı daha önce bulduğumuz ve bize yalnızca telefon numarası ve doğum tarihiyle birlikte Hintli bir kullanıcının başvuru numarasını veren uç noktayla zincirleme yapmalıyız. Bu sonuçta bize, telefon numarasını ve doğum tarihini bildiğimiz herhangi bir Hintlinin hassas kişisel belgelerine erişme yeteneği veriyor.”
OT Sorunu
Bu hikayenin sonu değildi. Yukarıdaki güvenlik açıklarını Hindistan’ın Bilgisayar Acil Durum Müdahale Ekibine (CERT-IN) bildirdikten ve yanıt alamadıktan sonra, Justin bir SYSADMIN hesabı için güvenliği düşük bir tek seferlik parola (OTP) sistemi buldu.
Bu yönetici hesabıyla portalda oturum açmayı başardı ve kendisine aday arama ve belge görüntüleme gibi yetkiler verdi. Araştırmacı ayrıca başvuruları yüz yüze doğrulama kontrolleri olmadan işleme alma, lisans bilgilerini değiştirme taleplerini onaylama ve bölgesel ulaşım ofislerinde çalışan devlet personelinin PII’lerine erişme seçeneğine de sahipti.
“Kısacası, Aadhaar Kartları gibi kritik belgelere doğrudan erişimim vardı ve [the] Araştırmacı, sürücü belgesine sahip 185 milyondan fazla Kızılderili’nin tümünün pasaportlarını kaydetti. “Ayrıca, istediğim kadar geçerli, devlet onaylı sürücü belgesi de oluşturabilirdim.”
Hükümetle ilgili en son siber güvenlik haberlerinin devamını okuyun
Bu aşamada Justin, CERT-IN’e yönelik ek güvenlik açığını bildirdi. Araştırmacı ilk raporu 7 Kasım 2022’de ve ikincisini 5 Aralık’ta gönderdi. Her iki rapor da çözülmüş olarak işaretlendi ve düzeltmeler 25 Ocak 2023’te onaylandı.
Ile konuşmak günlük yudumJustin, araştırma sürecinin basit olduğunu ve işiyle ilgili herhangi bir olumsuz yasal sonuçla karşılaşmadığını söyledi.
Ayrıca, CERT-IN tarafından ilk öncelik sırasına göre rapora otomatik olarak “Bu olayı CERT-IN’e bildirdiğiniz için teşekkür ederiz” yanıtının ötesinde hiçbir kredi teklif edilmediğini söyledi. Alınan geri bildirim, “bildirilen güvenlik açığının nasıl giderildiğini bana bildirmeleri ile sınırlıydı”.
günlük yudum ek sorular için CERT-IN ve Sarathi Parivahan’a ulaştı, ancak henüz ikisinden de yanıt almadık. Geri dönersek ve ne zaman duyarsak hikayeyi güncelleyeceğiz.
KAÇIRMAYIN Serileştirilmiş web güvenliği toplaması: Twitter 2FA geri tepmesi, GoDaddy yıllarca süren saldırı kampanyasına maruz kalıyor ve XSS Hunter, e2e şifreleme ekliyor