Не нужно быть хакером, чтобы заполучить любые документы своего соседа.
Независимый исследователь в области цифровой безопасности заявил о наличии бага на правительственном веб-сайте штата Западный Бенгал в Индии. Благодаря ошибке любой желающий мог получить доступ к конфиденциальным идентификационным документам местных жителей и многой другой личной информации.
Исследователь Саураджит Маджумдер обнаружил брешь на портале e-District, который позволяет жителям штата получать онлайн-услуги от правительства, такие как свидетельства о рождении, смерти и прочие справки.
Маджумдер заявил, что благодаря ошибке можно было получить документы на землю, которые содержат записи о владельцах участка земли, угадав порядковые номера заявок на получение этих документов.
Получив доступ к номеру идентификации заявки, любой пользователь с учётной записью в системе e-District мог получить копию документа о праве собственности. Добытые таким образом данные содержали имена людей, связанных с документом, их фотографии и даже полный набор отпечатков пальцев обеих рук.
Также в документах были указаны государственные идентификационные документы, включая конфиденциальные AADHAAR-номера, которые являются частью национальной базы данных идентификации и биометрии Индии. Эти номера необходимы для доступа к банковским услугам, мобильной связи и многим государственным услугам.
Маджумдер сообщил об уязвимости команде по реагированию на компьютерные чрезвычайные ситуации Индии, известной как CERT-In, а также правительству Западного Бенгала. Учитывая его серьёзность, баг был устранён в кратчайшие сроки.
Пока неизвестно, обнаружил ли кто-то ещё кроме Маджумдера этот баг. Представители правительства Западного Бенгала и CERT-In не ответили на запросы о комментариях. На сайте e-District указано, что на сегодняшний день в сервисе было обработано более 17 миллионов заявок, но неизвестно, сколько из них связано с документами о праве собственности.
Местные СМИ в последние месяцы также сообщают о росте мошенничества, связанного с предполагаемой кражей биометрической информации, которую преступники затем используют для опустошения банковских счетов граждан.
Никаких овечек — только отборные научные факты