印度交通部漏洞可能允许伪造驾驶执照

Charlie Osborne
2023年2月28日 14:15 UTC
更新：2023年2月51日 14:51 UTC

政府、漏洞、数据泄露

一名研究人员利用个人数据片段，还能访问1.85亿公民的PII（个人可识别信息）。一名研究人员披露了他如何能够访问可能多达1.85亿印度公民的PII，并且还能创建伪造的驾驶执照。

2月20日，学生和网络安全研究员Robin Justin发布了一篇博客文章，详细介绍了影响印度道路运输和公路部网站Sarathi Parivahan的漏洞。该门户允许公民申请学习许可证或驾驶执照。Justin在尝试申请后者时，几分钟内就发现了端点存在访问控制破坏和授权检查缺失的问题。

“隐藏在显而易见之处”
要进行身份验证，只需要申请号和申请人的出生日期。然而，一个用于检查申请状态的端点存在缺陷，因此攻击者可以提供随机申请号来获取相关申请人的出生日期、姓名、地址和驾驶执照号码，甚至还能调取个人照片。

由于暴力破解随机申请号会非常耗时，Justin进一步探索了门户，并发现了第二个易受攻击的端点，该端点仅需要电话号码和受害者的出生日期即可访问申请号。

几分钟后，研究人员发现了一个本应仅限于管理员使用的公共域功能。该功能允许Justin访问申请人上传的文件——被研究人员描述为“一个严重脆弱的端点，几乎就隐藏在显而易见之处，供所有人使用”。

他继续说道：“为了达到最大影响，我们应该将这个易受攻击的端点与我们之前发现的端点链接起来，后者仅凭电话号码和出生日期就给了我们印度用户的申请号。这最终使我们能够访问任何我们知道电话号码和出生日期的印度人的敏感个人文件。”

OTP问题
这还不是故事的结束。在向印度计算机应急响应小组（CERT-IN）报告了上述漏洞但未收到回复后，Justin发现了一个安全性较差的一次性密码（OTP）系统，用于SYSADMIN账户。

他成功使用此管理员账户登录了门户，获得了包括申请人搜索和文件查看在内的权限。研究人员还可以处理无需现场验证检查的申请，批准更改执照信息的请求，并访问在地区运输办公室工作的政府工作人员的PII。

“简而言之，我直接访问了关键文件，如Aadhaar卡和所有1.85亿以上持有驾驶执照的印度人的护照，”研究人员指出。“我还可以生成任意数量的政府批准的驾驶执照。”

在此阶段，Justin向CERT-IN报告了额外的漏洞。研究人员于2022年11月7日发送了初始报告，第二次报告于12月5日发送。两份报告均被标记为已解决，修复于2023年1月25日确认。

在与The Daily Swig的对话中，Justin表示研究过程很简单，并且他没有因工作而面临任何不利的法律后果。他还说，CERT-IN除了在初始分类时自动回复“感谢您向CERT-IN报告此事件”外，没有提供任何信用。收到的反馈“仅限于他们让我知道报告的漏洞是如何修复的”。

The Daily Swig已向CERT-IN和Sarathi Parivahan发送了额外查询，但截至目前尚未收到任何回复。如果我们收到回复，将更新故事。

政府、漏洞、数据泄露、数据破坏、黑客技术、身份验证、法律、汽车、关键基础设施、研究、黑客新闻、组织、核心

Charlie Osborne
@SecurityCharlie

Twitter、WhatsApp、Facebook、Reddit、LinkedIn、Email

此页面需要JavaScript以增强用户体验。

最新帖子
我们将戒酒——告别The Daily Swig
2023年3月2日
我们将戒酒——告别The Daily Swig
PortSwigger今天宣布The Daily Swig即将关闭

Bug Bounty Radar
2023年3月最新的漏洞赏金计划
2023年2月28日
Bug Bounty Radar
2023年3月最新的漏洞赏金计划

密码管理器第二部分
企业秘密平台的粗略指南
2023年2月27日
密码管理器第二部分
企业秘密平台的粗略指南

Burp Suite
Web漏洞扫描器、Burp Suite版本、发布说明

漏洞
跨站脚本（XSS）、SQL注入、跨站请求伪造、XML外部实体注入、目录遍历、服务器端请求伪造

客户
组织、测试人员、开发者

公司
关于、职业、联系、法律、隐私通知

洞察
Web Security Academy、博客、研究

关注我们
© 2025 PortSwigger Ltd.