CoWIN门户网站是印度COVID-19疫苗接种登记的中央平台。据外媒报道,CoWIN近期发生了一起极为严重的数据泄露事件,在CoWIN门户网站注册的每个印度公民的个人信息已经完全公开在Telegram消息应用程序上。
![印度10亿人面临个人信息泄露风险,CoWIN疫苗平台暴露公民数据]( "印度10亿人面临个人信息泄露风险,CoWIN疫苗平台暴露公民数据")
CoWIN官网介绍:新冠肺炎疫苗情报网(CoWIN)是印度迅速扩张的数字骨干网,也是世界上最大的新冠肺炎疫苗接种计划之一。它是一个可扩展、包容和开放的全民疫苗接种平台,能够监测整个系统的疫苗利用率、覆盖率和浪费情况。以公民为中心的解决方案有助于登记和预约疫苗接种、定期提醒和沟通、为公民提供疫苗接种证书,并帮助项目经理和疫苗接种者创建管理会议、编写报告以及监测进展。
在这个泄露的数据库中,能够轻易地免费获取几乎所有接种了 Covid-19 疫苗的印度公民的个人详细信息,连印度政治领袖也未能幸免。崔纳木国大党领导人Saket Gokhale对此泄露事件发推谴责莫迪政府的数据保护不力以及无作为。
Saket Gokhale说,当在Telegram机器人中输入注册了CoWIN门户网站的手机号码时,它会自动披露印度公民用于接种疫苗的Aadhaar号码(基于印度公民和居住在印度的外国公民的生物识别和人口统计数据发放的12位唯一身份号码),以及诸如性别、出生年份和个人接种疫苗的中心等详细信息。据悉,除此之外还暴露了成千上万印度公民的选民ID、护照号码、PAN号码等。
据各方新闻报道证实,如果多个人使用的是同一个手机号码注册,Telegram机器人将一次性提供所有这些人的详细信息。这意味着,如果一个家庭使用同一个手机号码预订多个成员的疫苗接种时间,他们的个人信息将被集体曝光。
CoWIN门户网站据称配置有一次性密码(OTP)安全系统,目前尚不清楚本次数据泄露是如何发生的。
简单的解释就是程序对输入数据没有执行有效的边界检测而导致错误,后果可能是造成程序崩溃或者是执行攻击者的命令。
原文始发于微信公众号(看雪学苑):印度10亿人面临个人信息泄露风险,CoWIN疫苗平台暴露公民数据
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/1804310.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论