超2.8億條公民身份信息在公有云上暴露,印度政府未予置評
責編:gltian |2022-08-05 15:08:14烏克蘭安全研究員Bob Diachenko發現,有兩個獨立IP地址存儲著超過2.88億條記錄,其中一個IP下約有2.8億條記錄,另一IP下約有840萬條記錄。
Diachenko表示,兩個IP均未經密碼保護,數據被公開暴露在互聯網上。兩個IP地址歸屬印度,屬于微軟Azure托管服務。
這些記錄屬于“UAN”Elasticsearch集群。UAN是指印度國有雇員公積金組織(EPFO)分配給養老基金持有者們的通用賬號。
Diachenko透露,“據我了解,數據庫中的信息可被用來拼湊出這些印度公民的完整資料,致使他們成為網絡釣魚或欺詐攻擊的目標。”
每條記錄中都包含他們的個人身份信息,包括婚姻狀況、性別和出生日期。以及與養老基金賬戶有關的細節信息,包括UAN、銀行賬號和就業情況。
除了泄露養老基金持有者們的個人身份信息(PII)之外,這些記錄中還暴露了相應代名人的信息,例如代名人全名、與賬戶持有人的關系。
Diachenko在本周早些時候發現這些泄露敏感數據的IP地址。他昨天在Twitter上發布一張截圖,展示了暴露個人信息的數據字段,并點名印度計算機應急響應小組(CERT-In)。這條推文發布后不到一天,兩個問題IP均已無法訪問。
Diachenko表示,目前還不清楚應該由誰對網上暴露的海量數據負責,也不清楚除他之外是否還有其他人發現了這些數據。
外媒TechCrunch已經向印度國有雇員公積金組織、計算機應急響應小組以及該國IT部門發出置評請求,但未得到回應。
據安全內參了解,印度中央公積金專員在2018年就曾通知國家IT部門,稱黑客可以從公積金組織的Aadhaar門戶網站竊取數據。該事件導致約2700萬養老基金持有者身陷風險。事后,養老基金機構表示并未發生數據泄露,但沒有給出任何相應證據。
參考資料:techcrunch.com=
來源:安全內參
上一篇:云端身份管理的起步建議