液化石油气公司泄露了印度670万客户的详细信息

法国安全研究人员巴普蒂斯特·罗伯特（Baptiste Robert）在Twitter上化名为“Elliot Alderson”，在一名不愿透露姓名的印度研究人员的帮助下发现，颇受欢迎的国有液化石油气公司Indane的官方网站正在泄露其数百万客户的个人信息，包括他们的Aadhaar号码。

这不是第一次有无保护的第三方数据库泄露印度公民的Aadhaar详细信息，这是分配给每个公民的唯一号码，是印度政府的印度唯一身份认证机构（UIDAI）维护的印度生物识别身份计划的一部分。
本周早些时候，一位匿名的印度研究人员最初发现了Indane在线经销商门户中的一个漏洞，任何人都可以在不需要任何身份验证的情况下访问与各自经销商相关的数十万客户数据。

“由于当地经销商门户网站缺乏认证，Indane正在泄露客户的姓名、地址和Aadhaar号码，”罗伯特在周一中下旬的一篇博客文章中写道。

为了避免受到印度当局的困扰，研究人员与罗伯特分享了他的研究结果。罗伯特此前因揭露了印度其他网站和服务中与Aadhaar有关的大量漏洞和安全漏洞而声名鹊起。

在分析问题后，Robert发现，如果攻击者知道每个经销商的用户名，他们实际上可以从Indane网站获取数百万印度公民的数据，他后来使用Indane官方移动应用程序中的另一个漏洞发现了该用户名。
移动应用程序漏洞使Robert能够找到11062个有效的经销商ID，其中他对在线经销商门户使用了9490个ID来获取580万用户的个人数据，包括他们的Aadhaar号码、姓名和居住地址。

 

罗伯特说：“不幸的是，英丹可能屏蔽了我的IP，所以我没有测试剩下的1572家经销商。通过做一些基本的数学计算，我们可以估计最终受影响的客户数量约为6791200人”。

2月15日，罗伯特与印度石油公司（Indian Oil Corporation）旗下的液化石油气品牌Indane分享了他的发现，并在没有收到该公司的回应后，于2月19日公开披露了这一发现。

印度液化石油气公司的官方回应

作为对这一消息的回应，拥有Indane和印度石油公司；在推特上发了一份声明称，“没有通过Indane网站泄露Aadhaar数据”。

在随附的一份声明中，该公司没有承认其客户的数据遭到破坏，而是试图通过以下方式为阿达尔和印度政府辩护：

 

“IndianOil在其软件中仅捕获液化石油气补贴转移所需的AADHAR编号。IndianOil未捕获其他与AADHAR相关的详细信息。因此，AADHAR数据不可能通过我们泄露”

 

“过去，石油营销公司不时在各自的网站（透明门户网站）上发布消费者消费补贴液化石油气加油的信息，多个连接列表包含消费者编号、姓名、液化石油气ID和地址等客户信息，可供社会审计”

 

“本网站上没有Aadhaar号码”。然而，《黑客新闻》已经审查了罗伯特和肯提供的样本数据库确认该网站还拥有其客户的Aadhaar号码，而不是直接显示在网页上，而是超链接到每个客户ID的URL中。