法国安全研究员声称他收到了一条消息,说明,由于当地经销商门户网站,Indane缺乏认证,印度石油公司(IOC)拥有的LPG品牌是漏出的名称,地址和Aadhaar数量超过67 Lakh客户。
Baptiste Robert在线处理Elliot Alderson并在过去已经暴露了Aadhaar泄漏,在他的Blogpost说:“由于当地经销商门户网站缺乏身份验证,Indane正在泄露名称,地址和Aadhaar数量他们的客户。“
在Alderson收到Twitter上的私信后,泄漏被揭露。交换几条消息后,Alderson表示,发件人将他发送了一个URL(统一资源定位器),以便说出网站的链接。
使用自定义构建脚本来刮抄本,Alderson找到了客户数据,以获得近11,000名经销商,包括客户的名称和地址,在他的IP被Indan被Indane封锁之前。
法国研究人员在剧本被封锁之前发现了580万个人的客户记录。
在这里“alderson如何出土数据泄漏
打开链接后,链接到“消费者否”,Alderson发现它包含一个名为“aadhar_no”的参数。
除此之外,还有“消费者名称”,“消费者地址”和右下方,有“总记录”。在URL中,Alderson发现有一个名为“DealerID”的参数,如果修改了DealerID参数的值,则可以访问另一个经销商的消费者信息。
为了获得有多少分销商,Albertson首先检查了维基百科,表示,在9,100个分销商的网络中,有大约9000万的印度家庭。
Alderson通过验证Indane的移动应用程序来确认此发现。在应用程序上,通过使用“找到您的分销商”功能,Albertson开始编码。
服务器Sendsthe经销商标识相应的“BGadistrict”,发现有714 BGadistrictof。
“感谢Android应用程序中的端点,我们将获得所有有效的经销商ID,然后我们将在当地经销商门户中刮掉所有的”总记录“,”Albertson写道。
“我写了python脚本。通过运行此脚本,它为我们提供了11062个有效经销商ID。经过一天多的时间,我的脚本测试了9,490名经销商,发现总共有5,826,116个Indane客户受到这种泄漏的影响,“他写道。“不幸的是,Indane可能阻止了我的IP,所以我没有测试剩下的1,572名经销商。通过做一些基本数学,我们可以估计大约67,91,200的受影响客户的最终数量,“他写道。
Indane和印度的独特识别权威(UIDAI)尚未评论此数据泄漏。