包含印度养老基金持有人全名、银行帐号和提名人信息的大量数据已在网上浮出水面。
安全研究员Bob Diachenko发现两个独立的 IP 地址存储了超过 2.88 亿条记录——一个 IP 地址下有大约 2.8 亿条记录可用,第二个 IP 地址有大约 840 万条记录。研究人员说,这两个 IP 地址都将数据公开暴露在互联网上,但不受密码保护。
这些记录是名为“UAN”的集群指数的一部分,显然是指该国国有雇员公积金组织(EPFO)分配给养老基金持有人的通用帐号。
“据我了解,数据库中的信息本可以用来汇总印度公民的完整档案,并使他们成为网络钓鱼或诈骗攻击的目标,”Diachenko 告诉 TechCrunch。
每条记录都包含个人的个人信息,包括他们的婚姻状况、性别和出生日期。还有主要与他们的养老基金账户相关的详细信息,包括 UAN、银行帐号和就业状况。
除了泄露持有养老基金账户的个人的个人身份信息(PII)外,这些记录还暴露了他们被提名人的详细信息。这些包括他们的全名和与账户持有人的关系。
Diachenko 本周早些时候发现了泄露敏感数据的 IP 地址。他周三在推特上发布了一张截图,显示了暴露个人信息的数据字段,同时标记了印度的计算机应急响应小组 (CERT-In)。在发布他的推文后不到一天,两个有问题的 IP 地址都无法再访问。
[BREACH ALERT] 这个印度数据库中有 2.8 亿多条记录,公开曝光。去哪里举报? @IndianCERT ? pic.twitter.com/lkY55epCyy
— Bob Diachenko (@MayhemDayOne) 2022 年 8 月 2 日
但迪亚琴科表示,目前尚不清楚谁应该对网上出现的暴露数据负责。目前还不清楚除了迪亚琴科之外是否有人发现了暴露的数据。
TechCrunch 联系了印度的 EPFO、CERT-In 和该国的 IT 部门征求意见,但没有收到回复。
据报道,2018 年,中央公积金专员通知IT 部,黑客能够从 EPFO 网站的 Aadhaar 播种门户窃取数据。该事件使大约 2700 万养老基金成员的信息处于危险之中。然而,养老基金机构后来在记录中声称,但没有提供证据,表明其方面没有数据泄露。
原文: https://techcrunch.com/2022/08/03/india-pension-fund-data-exposed/