🔥 热搜 🔥
11'"1'@亘古鱿鱼游戏朱令抖音kN张靓颖朱令去世一周年,清华学子控诉清华在朱令案中的冷血和无耻
分类
社会娱乐国际人权科技经济其它
🔥 热搜 🔥
11'"1'@亘古鱿鱼游戏朱令抖音kN张靓颖朱令去世一周年,清华学子控诉清华在朱令案中的冷血和无耻
分类
社会娱乐国际人权科技经济其它
查看原文
其他

超2.8亿条公民身份信息在公有云上暴露,印度政府未予置评

安全内参编译 安全内参 2022-09-26
收录于合集 #数据泄露狂潮 53个

关注我们

带你读懂网络安全


研究员发现,归属微软Azure、运行Elasticsearch集群服务的两个未受保护的IP,暴露了超2.8亿条印度养老基金持有人的个人身份信息和其他敏感数据。


前情回顾·数据泄露
安全内参8月4日消息,包括印度养老基金持有人全名、银行账号、代名人等信息在内的海量数据在网上曝光。乌克兰安全研究员Bob Diachenko发现,有两个独立IP地址存储着超过2.88亿条记录,其中一个IP下约有2.8亿条记录,另一IP下约有840万条记录。Diachenko表示,两个IP均未经密码保护,数据被公开暴露在互联网上。两个IP地址归属印度,属于微软Azure托管服务。这些记录属于“UAN”Elasticsearch集群。UAN是指印度国有雇员公积金组织(EPFO)分配给养老基金持有者们的通用账号。Diachenko透露,“据我了解,数据库中的信息可被用来拼凑出这些印度公民的完整资料,致使他们成为网络钓鱼或欺诈攻击的目标。”每条记录中都包含他们的个人身份信息,包括婚姻状况、性别和出生日期。以及与养老基金账户有关的细节信息,包括UAN、银行账号和就业情况。除了泄露养老基金持有者们的个人身份信息(PII)之外,这些记录中还暴露了相应代名人的信息,例如代名人全名、与账户持有人的关系。Diachenko在本周早些时候发现这些泄露敏感数据的IP地址。他昨天在Twitter上发布一张截图,展示了暴露个人信息的数据字段,并点名印度计算机应急响应小组(CERT-In)。这条推文发布后不到一天,两个问题IP均已无法访问Diachenko表示,目前还不清楚应该由谁对网上暴露的海量数据负责,也不清楚除他之外是否还有其他人发现了这些数据。外媒TechCrunch已经向印度国有雇员公积金组织、计算机应急响应小组以及该国IT部门发出置评请求,但未得到回应。据安全内参了解,印度中央公积金专员在2018年就曾通知国家IT部门,称黑客可以从公积金组织的Aadhaar门户网站窃取数据。该事件导致约2700万养老基金持有者身陷风险。事后,养老基金机构表示并未发生数据泄露,但没有给出任何相应证据。


参考资料:techcrunch.com



推荐阅读




点击下方卡片关注我们,
带你一起读懂网络安全 ↓


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存