¿Por qué alguien se molestaría en piratear una supuesta «base de datos encriptada ultrasegura que está protegida detrás de paredes de 13 pies de alto y 5 pies de espesor», cuando uno puede simplemente obtener una copia de los mismos datos de otras fuentes?
El investigador de seguridad francés Baptiste Robert, que utiliza el seudónimo de «Elliot Alderson» en Twitter, con la ayuda de un investigador indio, que quiere permanecer en el anonimato, descubrió que el sitio web oficial de la popular empresa estatal de gas LPG Indane está filtrando datos personales. de sus millones de clientes, incluidos sus números de Aadhaar.
Esta no es la primera vez que una base de datos de terceros sin protección filtra detalles de Aadhaar de ciudadanos indios, que es un número único asignado a cada ciudadano como parte del programa de identidad biométrica de India mantenido por la Autoridad de Identificación Única de India (UIDAI) del gobierno.
A principios de esta semana, un investigador indio anónimo descubrió inicialmente una laguna en el portal de distribuidores en línea de Indane que podría permitir que cualquier persona acceda a cientos de miles de datos de clientes asociados con sus respectivos distribuidores sin necesidad de autenticación.
«Debido a la falta de autenticación en el portal de distribuidores locales, Indane está filtrando los nombres, las direcciones y los números de Aadhaar de sus clientes», escribió Robert en una publicación de blog en Medium el lunes por la noche.
Para evitar meterse en problemas con las autoridades indias, el investigador compartió sus hallazgos con Robert, quien anteriormente ganó fama por exponer numerosas filtraciones relacionadas con Aadhaar y debilidades de seguridad en otros sitios web y servicios indios.
Después de analizar el problema, Robert descubrió que los atacantes en realidad pueden obtener millones de datos de ciudadanos indios del sitio web de Indane si conocen el nombre de usuario de cada distribuidor, que luego encontró usando otra vulnerabilidad en la aplicación móvil oficial de Indane.
La vulnerabilidad de la aplicación móvil permitió a Robert encontrar 11 062 identificaciones de comerciantes válidas, de las cuales usó 9490 identificaciones contra el portal de comerciantes en línea para obtener datos personales de 5,8 millones de usuarios, incluidos sus números de Aadhaar, nombres y direcciones residenciales.
«Desafortunadamente, Indane probablemente bloqueó mi IP, por lo que no probé a los 1572 distribuidores restantes. Haciendo algunos cálculos básicos, podemos estimar el número final de clientes afectados en alrededor de 6 791 200», dice Robert.
Robert compartió sus hallazgos con Indane, una marca de GLP propiedad de Indian Oil Corporation, el 15 de febrero, e hizo la divulgación pública el 19 de febrero después de no recibir respuesta de la empresa.
Respuesta oficial de Indane LPG Company
En respuesta a esta noticia, Indian Oil Corp Ltd, propietaria de Indane, tuiteó una declaración diciendo: «No hay fuga de datos de Aadhaar a través del sitio web de Indane».
En una declaración adjunta, en lugar de reconocer la violación de los datos de sus clientes, la empresa trató de defender a Aadhaar y al gobierno indio diciendo:
«IndianOil en su software captura solo el número de Aadhaar que se requiere para la transferencia de subsidios de GLP. IndianOil no captura ningún otro detalle relacionado con Aadhaar. Por lo tanto, la filtración de datos de Aadhaar no es posible a través de nosotros».
«En el pasado, las empresas de comercialización de petróleo de vez en cuando alojaban el consumo de recargas de GLP subsidiadas por parte de los consumidores, listas de conexiones múltiples que tenían información del cliente como número de consumidor, nombre, ID de GLP y dirección, en dominio público (portal de transparencia) en su sitios web apropiados que estaba disponible para las auditorías sociales «.
«No hay ningún número de Aadhaar alojado en este sitio web».
Sin embargo, The Hacker News ha revisado la base de datos de muestra proporcionada por Robert y puede confirmar que el sitio web también aloja números de Aadhaar de sus clientesno se muestra directamente en la página web, sino en la URL con hipervínculo a la identificación de cada cliente.
