信息來(lái)源：安全內(nèi)參

前情回顧·數(shù)據(jù)泄露

• 美國(guó)聯(lián)邦法院系統(tǒng)曝?cái)?shù)據(jù)泄露：“廣度和范圍驚人”！司法部已介入調(diào)查

• 南非總統(tǒng)的個(gè)人信貸數(shù)據(jù)泄露：該國(guó)已淪為“黑客樂(lè)園”

• 51job招聘網(wǎng)站海量用戶數(shù)據(jù)泄露？官方正式回應(yīng)

安全內(nèi)參8月4日消息，包括印度養(yǎng)老基金持有人全名、銀行賬號(hào)、代名人等信息在內(nèi)的海量數(shù)據(jù)在網(wǎng)上曝光。

烏克蘭安全研究員Bob Diachenko發(fā)現(xiàn)，有兩個(gè)獨(dú)立IP地址存儲(chǔ)著超過(guò)2.88億條記錄，其中一個(gè)IP下約有2.8億條記錄，另一IP下約有840萬(wàn)條記錄。

Diachenko表示，兩個(gè)IP均未經(jīng)密碼保護(hù)，數(shù)據(jù)被公開(kāi)暴露在互聯(lián)網(wǎng)上。兩個(gè)IP地址歸屬印度，屬于微軟Azure托管服務(wù)。

這些記錄屬于“UAN”Elasticsearch集群。UAN是指印度國(guó)有雇員公積金組織（EPFO）分配給養(yǎng)老基金持有者們的通用賬號(hào)。

Diachenko透露，“據(jù)我了解，數(shù)據(jù)庫(kù)中的信息可被用來(lái)拼湊出這些印度公民的完整資料，致使他們成為網(wǎng)絡(luò)釣魚或欺詐攻擊的目標(biāo)。”

每條記錄中都包含他們的個(gè)人身份信息，包括婚姻狀況、性別和出生日期。以及與養(yǎng)老基金賬戶有關(guān)的細(xì)節(jié)信息，包括UAN、銀行賬號(hào)和就業(yè)情況。

除了泄露養(yǎng)老基金持有者們的個(gè)人身份信息（PII）之外，這些記錄中還暴露了相應(yīng)代名人的信息，例如代名人全名、與賬戶持有人的關(guān)系。

Diachenko在本周早些時(shí)候發(fā)現(xiàn)這些泄露敏感數(shù)據(jù)的IP地址。他昨天在Twitter上發(fā)布一張截圖，展示了暴露個(gè)人信息的數(shù)據(jù)字段，并點(diǎn)名印度計(jì)算機(jī)應(yīng)急響應(yīng)小組（CERT-In）。這條推文發(fā)布后不到一天，兩個(gè)問(wèn)題IP均已無(wú)法訪問(wèn)。

Diachenko表示，目前還不清楚應(yīng)該由誰(shuí)對(duì)網(wǎng)上暴露的海量數(shù)據(jù)負(fù)責(zé)，也不清楚除他之外是否還有其他人發(fā)現(xiàn)了這些數(shù)據(jù)。

外媒TechCrunch已經(jīng)向印度國(guó)有雇員公積金組織、計(jì)算機(jī)應(yīng)急響應(yīng)小組以及該國(guó)IT部門發(fā)出置評(píng)請(qǐng)求，但未得到回應(yīng)。

據(jù)安全內(nèi)參了解，印度中央公積金專員在2018年就曾通知國(guó)家IT部門，稱黑客可以從公積金組織的Aadhaar門戶網(wǎng)站竊取數(shù)據(jù)。該事件導(dǎo)致約2700萬(wàn)養(yǎng)老基金持有者身陷風(fēng)險(xiǎn)。事后，養(yǎng)老基金機(jī)構(gòu)表示并未發(fā)生數(shù)據(jù)泄露，但沒(méi)有給出任何相應(yīng)證據(jù)。

參考資料：techcrunch.com