Hindistan Postanesi Portalı, Binlerce kullanıcının Müşterinizi Bilin (KYC) verilerine Hassas Bilin (KYC) verilerine maruz bırakarak güvensiz bir Doğrudan Nesne Referansı (Idor) saldırısına karşı savunmasız bulundu.
Bu ihlal, devlet tarafından işletilen dijital platformlarda, özellikle Aadhaar ve Pan ayrıntıları gibi hassas kişisel bilgileri ele alan güçlü güvenlik önlemlerine yönelik kritik ihtiyacı vurgulamaktadır.
Ne oldu?
Bir siber güvenlik analisti Gokuleswaran’a göre, güvenlik açığı yetkisiz kullanıcıların portalın URL yapısındaki bir kusurdan yararlanarak özel KYC kayıtlarına erişmesine izin verdi.
API isteklerinde Document_ID parametresini manipüle ederek, saldırganlar Aadhaar numaraları, PAN ayrıntıları, kullanıcı adları ve cep telefonu numaraları dahil olmak üzere gizli belgeleri alabilirler.
Bu ihlal, Idor güvenlik açıklarının, saldırganların uygun yetkilendirme kontrolleri olmadan diğer kullanıcıların verilerine eriştiği yatay ayrıcalık artışına nasıl yol açabileceğini örneklendirir.
Yanıt hassas verileri döndürdü:
Document_id değerini artırarak (örneğin, 125678 ila 125679 ile değiştirilen) saldırganlar, diğer kullanıcıların KYC kayıtlarına kimlik doğrulama veya yetkilendirme olmadan erişebilir.
Uygulamalar, kullanıcı tarafından sağlanan parametrelerde uygun erişim kontrollerini uygulayamadığında idor güvenlik açıkları meydana gelir. Bu durumda:
Document_id parametresi, isteyen kullanıcının bunlara erişme iznine sahip olup olmadığını doğrulamadan doğrudan dahili kaynaklara atıfta bulundu.
Sistemde, yalnızca kolayca atlanan istemci tarafı doğrulamasına dayanarak sunucu tarafı yetkilendirme kontrolleri yoktu.
İhlalin etkisi
Bu güvenlik açığı, etkilenen bireyler ve kuruluşlar için önemli riskler yaratarak son derece hassas bilgileri ortaya çıkardı:
- Kimlik Hırsızlığı: Sızan Aadhaar ve PAN detayları, yetkisiz banka hesapları açma veya krediler başvurusu gibi hileli faaliyetler için kullanılabilir.
- Kimlik avı saldırıları: Dolandırıcılar, ikna edici kimlik avı kampanyaları oluşturmak için sızdırılmış isimleri ve iletişim bilgilerini kullanabilir.
- Düzenleyici İhlaller: KYC verilerinin yanlış çalıştırılması, potansiyel olarak posta departmanı için yasal yansımalara yol açan Hint veri koruma yasalarını ihlal ediyor.
Azaltma önlemleri
Gelecekte bu tür ihlalleri önlemek için kuruluşlar, web uygulamalarını güvence altına almak için en iyi uygulamaları benimsemelidir:
- Hassas kaynakları içeren her talep için katı sunucu tarafı yetkilendirme kontrollerini zorlayın.
- Document_id gibi doğrudan tanımlayıcıları tahmin etmesi daha zor olan randomize veya karma belirteçlerle değiştirin.
- Kullanıcı tarafından sağlanan tüm parametrelerin beklenen değerlere göre sterilize edildiğinden ve onaylandığından emin olun.
- Periyodik penetrasyon testi, kullanılmadan önce güvenlik açıklarını belirleyebilir.
- Şüpheli etkinlik için kullanıcı başına talep sayısını sınırlayın ve günlükleri izleyin.
CERT-In konuyu kabul etti ve idor güvenlik açıklarını önlemek için güvenli kodlama uygulamalarını vurgulayan tavsiyeler yayınladı.
URL’lerde doğrudan referanslar yerine güvenli jetonların kullanılmasını ve zayıflıkları tespit etmek için düzenli güvenlik denetimleri yapmanızı önerir.
Hindistan dijital yönetişime geçtikçe, kamu güvenini korumak ve büyük ölçekli veri ihlallerini önlemek için sağlam güvenlik protokollerine öncelik verilmelidir.