超2.8亿条公民身份信息在公有云上暴露，印度政府未予置评

2022年8月5日00:03:55评论52 views字数 1097阅读3分39秒阅读模式

关注我们

带你读懂网络安全

研究员发现，归属微软Azure、运行Elasticsearch集群服务的两个未受保护的IP，暴露了超2.8亿条印度养老基金持有人的个人身份信息和其他敏感数据。

前情回顾·数据泄露

安全内参8月4日消息，包括印度养老基金持有人全名、银行账号、代名人等信息在内的海量数据在网上曝光。

乌克兰安全研究员Bob Diachenko发现，有两个独立IP地址存储着超过2.88亿条记录，其中一个IP下约有2.8亿条记录，另一IP下约有840万条记录。

Diachenko表示，两个IP均未经密码保护，数据被公开暴露在互联网上。两个IP地址归属印度，属于微软Azure托管服务。

这些记录属于“UAN”Elasticsearch集群。UAN是指印度国有雇员公积金组织（EPFO）分配给养老基金持有者们的通用账号。

Diachenko透露，“据我了解，数据库中的信息可被用来拼凑出这些印度公民的完整资料，致使他们成为网络钓鱼或欺诈攻击的目标。”

每条记录中都包含他们的个人身份信息，包括婚姻状况、性别和出生日期。以及与养老基金账户有关的细节信息，包括UAN、银行账号和就业情况。

除了泄露养老基金持有者们的个人身份信息（PII）之外，这些记录中还暴露了相应代名人的信息，例如代名人全名、与账户持有人的关系。

Diachenko在本周早些时候发现这些泄露敏感数据的IP地址。他昨天在Twitter上发布一张截图，展示了暴露个人信息的数据字段，并点名印度计算机应急响应小组（CERT-In）。这条推文发布后不到一天，两个问题IP均已无法访问。

Diachenko表示，目前还不清楚应该由谁对网上暴露的海量数据负责，也不清楚除他之外是否还有其他人发现了这些数据。

外媒TechCrunch已经向印度国有雇员公积金组织、计算机应急响应小组以及该国IT部门发出置评请求，但未得到回应。

据安全内参了解，印度中央公积金专员在2018年就曾通知国家IT部门，称黑客可以从公积金组织的Aadhaar门户网站窃取数据。该事件导致约2700万养老基金持有者身陷风险。事后，养老基金机构表示并未发生数据泄露，但没有给出任何相应证据。

参考资料：techcrunch.com

推荐阅读

点击下方卡片关注我们，

带你一起读懂网络安全 ↓

原文始发于微信公众号（安全内参）：超2.8亿条公民身份信息在公有云上暴露，印度政府未予置评

信息支援部队是一支怎样的力量？国防部解答