印度某天然气公司泄露670万居民身份证（Aadhar）号码

2月10日，我在Twitter上收到了一条非常有趣的私信。

这条私信中的“Aadhar”和“leak”引起了我的兴趣。在交谈几句后，他给我发了一个网址。

这个网址的页面包含了丰富的信息：

• “Consumer No”的超链接包含一个名为“aadhar_no”的参数。

• “Consumer Name”

• “Consumer Address”

• 页面右下角的“Total Records”

• 在URL中，有一个名为dealerID的参数

看起来，由于这个Indane天然气公司的网站缺乏权限认证，所有人都可以看到公司客户的姓名、地址和身份证号码。但泄漏的数据量到底有多大？

如上只是一个经销商的门户，如果我们修改URL中dealerID参数的值，我们可以就访问其他经销商的顾客信息。所以，要确切知道泄露数据量的大小，我们需要知道Indane其他经销商的身份信息。

根据维基百科的数据，Indane通过9100个经销商为9000多万家庭提供天然气服务。哇，这可太惊人了。

此外，他们有一个Android应用，让我们看看。

在这个app中，有一个“找到你的经销商”。后端请求是什么？

OK！当我使用这个功能时，服务器会返回“bgadistrict”参数所对应的经销商信息。经过统计，我发现共有714个有效“bgadistrict”参数。

接下来，我们先获取所有有效的经销商ID，然后再在本地经销商门户网站中获取所有的“Total records”。

我花了几分钟写了个python脚本，然后运行它，最后我发现了11062个有效的经销商ID。又经过一天多，我的脚本已跑完了9490个经销商，共发现5826116个Indane客户。

不幸的是，Indane可能因发包速度过快拦截了我的IP，所以我没有测试剩下的1572个经销商。通过做一些基本的数学预测，此次数据泄露受影响客户的数量约为6791200。

总结

• 由于当地经销商门户网站缺乏权限认证，Indane泄露大量客户的姓名、地址和身份证号码。

• Indane共有11062个经销商

• 受影响客户总数约为6791200。

时间线

02/10/19：收到来自Twitter的私信

02/15/19：向Indane报告漏洞

02/19/19：Indane没有回应。漏洞公开

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://medium.com/@fs0c131y/indane-leaked-aadhaar-numbers-6-700-000-aadhaar-numbers-3948135239f6