Уязвимость позволяла любому получить доступ к уникальным номерам Aadhaar сотен тысяч клиентов без какой-либо аутентификации.
Сайт индийской компании по производству сжиженного углеродного газа Indane раскрывает данные 6,7 млн клиентов, включая номера Aadhaar (системы идентификации граждан и резидентов Индии).
Об утечке сообщил французский ИБ-эксперт Баптист Робер (Baptiste Robert), также известный под псевдонимом «Elliot Alderson». На инцидент его внимание обратил индийский эксперт, пожелавший остаться неизвестным из-за боязни преследования со стороны индийских властей.
Уязвимость, обнаруженная на сайте для дилеров Indane, позволяла любому получить доступ к именам, адресам и уникальным номерам Aadhaar сотен тысяч клиентов и связанных с ними дилеров без какой-либо аутентификации.
В ходе анализа Робер выявил еще одну уязвимость в официальном мобильном приложении Indane, предоставляющую возможность узнать ID любого дилера и с их помощью похитить данные миллионов индийских граждан.
Исследователь обнаружил 11 062 действительных ID, из них 9 490 он использовал для доступа к личным данным 5,8 миллионов пользователей, включая номера Aadhaar, имена и адреса проживания.
15 февраля Робер поделился информацией об уязвимости с Indane. 19 февраля он обнародовал сведения, не получив ответ от компании.
В ответ владелец Indane, корпорация Indian Oil Corp. опубликовала заявление, в котором опровергла утечку данных Aadhaar с сайта Indane. Как сообщили в компании, Indian Oil хранит только номер Aadhaar и никакие другие данные, связанные с сервисом аутентификации. По словам представителей Indane, на сайте не хранится номер Aadhaar.
Тем не менее, журналисты ресурса The Hacker News, ознакомившись с фрагментом базы, собранной Робером, подтвердили наличие номеров Aadhaar на сайте компании, но не непосредственно на web-странице, а в URL, связанными с идентификаторами клиентов.
