印度养老基金持有人敏感数据在网上泄露

包含印度养老基金持有人全名、银行账号和提名人信息的海量数据已在网上浮出水面。

安全研究员Bob Diachenko发现两个独立的 IP 地址存储了超过 2.88 亿条记录——一个 IP 地址下有大约 2.8 亿条记录可用，而第二个 IP 地址中大约有 840 万条记录。研究人员说，这两个 IP 地址都将数据公开暴露在互联网上，但不受密码保护。

这些记录是名为“UAN”的集群指数的一部分，显然是指该国国有雇员公积金组织（EPFO）分配给养老基金持有人的通用帐号。

具有 Elasticsearch 集群的第一个 IP 包含 280,472,941 条记录。第二个 IP 包含 8,390,524 条记录。

每条记录具有以下结构：

“据我了解，数据库中的信息本可以用来汇总印度公民的完整档案，并使他们成为网络钓鱼或诈骗攻击的目标，”Diachenko 告诉我们。

每条记录都包含个人的个人信息，包括他们的婚姻状况、性别和出生日期。还有主要与他们的养老基金账户相关的详细信息，包括 UAN、银行帐号和就业状况。

除了泄露持有养老基金账户的个人的个人身份信息（PII）外，这些记录还暴露了他们被提名人的详细信息。这些包括他们的全名和与账户持有人的关系。

Diachenko 本周早些时候发现了泄露敏感数据的 IP 地址。他在周三发布了一张截图，显示了暴露个人信息的数据字段，同时标记了印度的计算机应急响应小组 (CERT-In)。在发布他的推文后不到一天，两个有问题的 IP 地址都无法再访问。

但迪亚琴科表示，目前尚不清楚谁是数据的所有者；谁应该对网上出现的暴露数据负责。这两个 IP 都是 Azure 托管和基于印度的。通过反向 DNS 分析也没有获得其他信息。Shodan 和 Censys 搜索引擎都在 8 月 1 日发现了它们，但在搜索引擎索引它们之前这些信息暴露了多长时间还不得而知；也不清楚除了迪亚琴科之外是否有人也发现了暴露的数据。

鉴于数据的规模和明显的敏感性，我决定在推特上发布相关信息，但没有提供任何来源和相关信息的详细信息。在我发推文后的 12 小时内，两个 IP 都被删除，现在不可用。

截至 8 月 3 日，没有收到任何声称对发现的数据负责的机构或公司的回复。

我们联系了印度的 EPFO、CERT-In 和该国的 IT 部门征求意见，但我们没有收到回复。

据报道，2018 年，中央公积金专员通知IT部，黑客能够从 EPFO 网站的 Aadhaar 播种门户窃取数据。该事件使大约 2700 万养老基金成员的信息处于危险之中。然而，养老基金机构后来在记录中声称，但没有提供证据，表明其方面没有数据泄露。

原文始发于微信公众号（网络研究院）：印度养老基金持有人敏感数据在网上泄露