超2.8亿条公民身份信息在公有云上暴露,印度政府未予置评

admin 2022年8月5日00:03:55安全新闻评论13 views1097字阅读3分39秒阅读模式

关注我们

带你读懂网络安全

超2.8亿条公民身份信息在公有云上暴露,印度政府未予置评


研究员发现,归属微软Azure、运行Elasticsearch集群服务的两个未受保护的IP,暴露了超2.8亿条印度养老基金持有人的个人身份信息和其他敏感数据。


前情回顾·数据泄露
安全内参8月4日消息,包括印度养老基金持有人全名、银行账号、代名人等信息在内的海量数据在网上曝光。
乌克兰安全研究员Bob Diachenko发现,有两个独立IP地址存储着超过2.88亿条记录,其中一个IP下约有2.8亿条记录,另一IP下约有840万条记录。
Diachenko表示,两个IP均未经密码保护,数据被公开暴露在互联网上。两个IP地址归属印度,属于微软Azure托管服务
这些记录属于“UAN”Elasticsearch集群。UAN是指印度国有雇员公积金组织(EPFO)分配给养老基金持有者们的通用账号。
Diachenko透露,“据我了解,数据库中的信息可被用来拼凑出这些印度公民的完整资料,致使他们成为网络钓鱼或欺诈攻击的目标。”
超2.8亿条公民身份信息在公有云上暴露,印度政府未予置评
每条记录中都包含他们的个人身份信息,包括婚姻状况、性别和出生日期。以及与养老基金账户有关的细节信息,包括UAN、银行账号和就业情况。
除了泄露养老基金持有者们的个人身份信息(PII)之外,这些记录中还暴露了相应代名人的信息,例如代名人全名、与账户持有人的关系。
Diachenko在本周早些时候发现这些泄露敏感数据的IP地址。他昨天在Twitter上发布一张截图,展示了暴露个人信息的数据字段,并点名印度计算机应急响应小组(CERT-In)。这条推文发布后不到一天,两个问题IP均已无法访问
超2.8亿条公民身份信息在公有云上暴露,印度政府未予置评
Diachenko表示,目前还不清楚应该由谁对网上暴露的海量数据负责,也不清楚除他之外是否还有其他人发现了这些数据
外媒TechCrunch已经向印度国有雇员公积金组织、计算机应急响应小组以及该国IT部门发出置评请求,但未得到回应。
据安全内参了解,印度中央公积金专员在2018年就曾通知国家IT部门,称黑客可以从公积金组织的Aadhaar门户网站窃取数据。该事件导致约2700万养老基金持有者身陷风险。事后,养老基金机构表示并未发生数据泄露,但没有给出任何相应证据。


参考资料:techcrunch.com



推荐阅读





点击下方卡片关注我们,
带你一起读懂网络安全 ↓


原文始发于微信公众号(安全内参):超2.8亿条公民身份信息在公有云上暴露,印度政府未予置评

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年8月5日00:03:55
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  超2.8亿条公民身份信息在公有云上暴露,印度政府未予置评 http://cn-sec.com/archives/1222877.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: