2.88億條印度養老基金持有人的身份數據被暴露在互聯網
一個包含印度養老基金持有人全名、銀行賬戶號碼等信息的巨大數據緩存已在網上浮出水面。安全研究員Bob Diachenko發現兩個獨立的IP地址存儲了超過2.88億條記錄–其中一個IP地址下有約2.8億條記錄,約840萬條是第二個IP地址的一部分。該研究人員說,這兩個IP地址都公開向互聯網暴露數據,但沒有密碼保護。
這些記錄是名為”UAN”的集群指數的一部分,這顯然是指該國國有僱員公積金組織(EPFO)分配給養老基金持有人的通用賬戶號碼。
Diachenko表示:”據我所知,數據庫中的信息可能被用來拼湊出一個印度公民的完整檔案,使他們成為網絡釣魚或詐騙攻擊的目標。”
每條記錄都包括詳細的個人信息,包括他們的婚姻狀況、性別和出生日期。還有一些細節主要與他們的養老基金賬戶有關,包括UAN、銀行賬戶號碼和就業狀況。
除了洩露持有養老基金賬戶的個人身份信息(PII)外,這些記錄還暴露了其辦理人的詳細信息。這些信息包括他們的全名和與賬戶持有人的關係。
Diachenko本週早些時候發現了洩露敏感數據的IP地址。他在Twitter上發布了一張截圖,顯示了周三暴露個人信息的數據字段,同時提醒了印度計算機應急響應小組(CERT-In)。在發布他的推文後不到一天,這兩個有問題的IP地址已經無法訪問。
但Diachenko說,目前還不清楚誰應該對網上出現的曝光數據負責。目前也不清楚除了他之外,是否還有其他人也發現了這些曝光的數據。
印度養老金的IT系統出現安全問題已經不是第一次,2018年,印度中央公積金專員通知技術支持部門,黑客能夠從EPFO網站的Aadhaar播種門戶竊取數據。這一事件使約2700萬養老基金成員的信息處於危險之中。然而,該養老基金機構後來在記錄上聲稱,其方面沒有數據洩漏,但沒有提供證據。