Fuga masiva de datos personales en India: 6.7 millones de usuarios afectados.

Esta mañana salía a la luz la noticia de la filtración de datos privados de más de 6.7 millones de ciudadanos indios, usuarios de la empresa pública de gas Indane, una de las más potentes del sector a nivel mundial. La filtración expone números de teléfono y direcciones, entre otros datos personales contenidos en las identificaciones Aadhaar. Se trata de un sistema que puede equivaler al DNI español o al número de la Seguridad Social, solo que, además, incluye el uso de parámetros biométricos identificativos de la población.

Mediante el análisis de las peticiones web, el investigador descubrió que variando el valor del parámetro ‘bgadistrict’, utilizado por la aplicación para mostrar el distribuidor de la compañía más cercano al usuario, era posible obtener información de todos los proveedores de servicios en todos los distritos que, en total, ascendían a 714.

Este proceso, habiendo aprovechado previamente debilidades en los procesos de autenticación de la aplicación que permitían la consulta de información privada sobre los clientes en una url determinada, condujo finalmente al acceso parcial a la base de datos de la compañía. Seguidamente, con la ayuda de un script en Python, se calibró el alcance de la vulnerabilidad. El resultado: más de 6.7 millones de clientes de la compañía han visto sus datos personales comprometidos.

Los detalles de la explotación pueden consultarse en la entrada del propio autor https://medium.com/@fs0c131y/indane-leaked-aadhaar-numbers-6-700-000-aadhaar-numbers-3948135239f6

Ver información original al respecto en Fuente:

Hispasec