印度某天然气公司泄露670万居民身份证(Aadhar)号码

iso60001  2102天前

22.jpg

2月10日,我在Twitter上收到了一条非常有趣的私信。

33.png

这条私信中的“Aadhar”和“leak”引起了我的兴趣。在交谈几句后,他给我发了一个网址。

44.png

这个网址的页面包含了丰富的信息:

  • “Consumer No”的超链接包含一个名为“aadhar_no”的参数。

  • “Consumer Name”

  • “Consumer Address”

  • 页面右下角的“Total Records”

  • 在URL中,有一个名为dealerID的参数

看起来,由于这个Indane天然气公司的网站缺乏权限认证,所有人都可以看到公司客户的姓名、地址和身份证号码。但泄漏的数据量到底有多大?

如上只是一个经销商的门户,如果我们修改URL中dealerID参数的值,我们可以就访问其他经销商的顾客信息。所以,要确切知道泄露数据量的大小,我们需要知道Indane其他经销商的身份信息。

55.png

根据维基百科的数据,Indane通过9100个经销商为9000多万家庭提供天然气服务。哇,这可太惊人了。

此外,他们有一个Android应用,让我们看看。

66.png

在这个app中,有一个“找到你的经销商”。后端请求是什么?

77.png88.png

OK!当我使用这个功能时,服务器会返回“bgadistrict”参数所对应的经销商信息。经过统计,我发现共有714个有效“bgadistrict”参数。

接下来,我们先获取所有有效的经销商ID,然后再在本地经销商门户网站中获取所有的“Total records”。

99.png

我花了几分钟写了个python脚本,然后运行它,最后我发现了11062个有效的经销商ID。又经过一天多,我的脚本已跑完了9490个经销商,共发现5826116个Indane客户。

不幸的是,Indane可能因发包速度过快拦截了我的IP,所以我没有测试剩下的1572个经销商。通过做一些基本的数学预测,此次数据泄露受影响客户的数量约为6791200。

总结

  • 由于当地经销商门户网站缺乏权限认证,Indane泄露大量客户的姓名、地址和身份证号码。

  • Indane共有11062个经销商

  • 受影响客户总数约为6791200。

时间线

02/10/19:收到来自Twitter的私信

02/15/19:向Indane报告漏洞

02/19/19:Indane没有回应。漏洞公开

本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://medium.com/@fs0c131y/indane-leaked-aadhaar-numbers-6-700-000-aadhaar-numbers-3948135239f6

最新评论

昵称
邮箱
提交评论