Esta mañana salía a la luz la noticia de la filtración de datos privados de más de 6.7 millones de ciudadanos indios, usuarios de la empresa pública de gas Indane, una de las más potentes del sector a nivel mundial. La filtración expone números de teléfono y direcciones, entre otros datos personales contenidos en las identificaciones Aadhaar. Se trata de un sistema que puede equivaler al DNI español o al número de la Seguridad Social, solo que, además, incluye el uso de parámetros biométricos identificativos de la población.
La filtración ha sido llevada a cabo por un investigador francés que utiliza el nickname de ‘Elliot Alderson’. Según el investigador, uno de sus seguidores en Twitter le comunicó por mensaje privado la existencia de una fuga de información en la aplicación web de la empresa de gas. La vulnerabilidad, una vez debidamente analizada, se notificó a la compañía de gas el día 15 de febrero. Ante la falta de respuesta, el investigador ha publicado en su blog un reporte más detallado de la explotación.
Mediante el análisis de las peticiones web, el investigador descubrió que variando el valor del parámetro ‘bgadistrict’, utilizado por la aplicación para mostrar el distribuidor de la compañía más cercano al usuario, era posible obtener información de todos los proveedores de servicios en todos los distritos que, en total, ascendían a 714.
Este proceso, habiendo aprovechado previamente debilidades en los procesos de autenticación de la aplicación que permitían la consulta de información privada sobre los clientes en una url determinada, condujo finalmente al acceso parcial a la base de datos de la compañía. Seguidamente, con la ayuda de un script en Python, se calibró el alcance de la vulnerabilidad. El resultado: más de 6.7 millones de clientes de la compañía han visto sus datos personales comprometidos.
Los detalles de la explotación pueden consultarse en la entrada del propio autor aquí.
Deja una respuesta