Индийские пальчики утекли в сеть: ошибка портала e-District привела к масштабной компрометации данных

Независимый исследователь в области цифровой безопасности заявил о наличии бага на правительственном веб-сайте штата Западный Бенгал в Индии. Благодаря ошибке любой желающий мог получить доступ к конфиденциальным идентификационным документам местных жителей и многой другой личной информации.

Исследователь Саураджит Маджумдер обнаружил брешь на портале e-District, который позволяет жителям штата получать онлайн-услуги от правительства, такие как свидетельства о рождении, смерти и прочие справки.

Маджумдер заявил, что благодаря ошибке можно было получить документы на землю, которые содержат записи о владельцах участка земли, угадав порядковые номера заявок на получение этих документов.

Получив доступ к номеру идентификации заявки, любой пользователь с учётной записью в системе e-District мог получить копию документа о праве собственности. Добытые таким образом данные содержали имена людей, связанных с документом, их фотографии и даже полный набор отпечатков пальцев обеих рук.

Также в документах были указаны государственные идентификационные документы, включая конфиденциальные AADHAAR-номера, которые являются частью национальной базы данных идентификации и биометрии Индии. Эти номера необходимы для доступа к банковским услугам, мобильной связи и многим государственным услугам.

Маджумдер сообщил об уязвимости команде по реагированию на компьютерные чрезвычайные ситуации Индии, известной как CERT-In, а также правительству Западного Бенгала. Учитывая его серьёзность, баг был устранён в кратчайшие сроки.

Пока неизвестно, обнаружил ли кто-то ещё кроме Маджумдера этот баг. Представители правительства Западного Бенгала и CERT-In не ответили на запросы о комментариях. На сайте e-District указано, что на сегодняшний день в сервисе было обработано более 17 миллионов заявок, но неизвестно, сколько из них связано с документами о праве собственности.

Местные СМИ в последние месяцы также сообщают о росте мошенничества, связанного с предполагаемой кражей биометрической информации, которую преступники затем используют для опустошения банковских счетов граждан.