Серьезная ошибка, обнаруженная в приложении DigiLocker правительства Индии, поставила под угрозу личные данные более 3.8 миллионов граждан. Приложение DigiLocker, созданное федеральным правительством в рамках инициативы Digital India, предлагает доступ к облаку каждому пользователю Aadhar для хранения цифровых копий подлинных документов/сертификатов, таких как водительские права, регистрационные автомобили, таблицы академических оценок и т. д. Ошибка, обнаруженная исследователем безопасности Ашишем Гелотом в прошлом месяце, позволила хакерам, обладающим некоторыми техническими знаниями, легко обойти двухфакторную аутентификацию, необходимую для входа в приложение, которое раскрывает конфиденциальную личную информацию. По словам Гелота, он смог манипулировать процессом подключения, используя базовую информацию о пользователе, такую как Aadhar, а также перехватывая и изменяя параметры для подключения приложений к серверу. Уязвимость означала, что неавторизованные пользователи могли войти в систему, создать новый PIN-код и получить неограниченный доступ к личным данным, хранящимся на облачном сервере, даже не вводя пароль. Хотя Gehlot обнаружил и сообщил об уязвимости в прошлом месяце, она была частично исправлена в течение нескольких дней. Однако проблема с исправлением OTP была решена только вчера. В настоящее время неясно, были ли эти данные доступны или использованы неавторизованными пользователями не по назначению. Это не первый случай, когда иск индийского правительства оказывается уязвимым. В прошлом месяце исследователь безопасности обнаружил проблемы с утвержденным правительством мобильным приложением Aarogya Setu, используемым для фильтрации первого уровня и отслеживания контактов против Covid-19. Не далее как вчера в результате утечки данных в поддерживаемом правительством платежном приложении Bhim были обнаружены весьма конфиденциальные личные данные более чем 70 миллионов человек. Через: НДТВ