印度交通部漏洞潜在允许伪造驾照

Charlie Osborne
2023年2月28日 14:15 UTC
更新：2023年2月28日 14:51 UTC

一名研究人员披露，他如何能够访问潜在1.85亿印度公民的个人可识别信息（PII），并生成伪造驾驶执照。2月20日，学生和网络安全研究员Robin Justin发布了一篇博客文章，详细介绍了影响印度道路运输和公路部网站Sarathi Parivahan的漏洞。

该门户允许公民申请学习许可证或驾驶执照。Justin在申请后者时，几分钟内就发现了端点存在访问控制破坏和授权检查缺失的问题。

“隐藏在日常视线中”

要进行身份验证，只需要应用编号和申请人的出生日期。然而，一个用于检查申请状态的端点存在缺陷，因此攻击者可以提供随机应用编号来获取相关申请人的出生日期、姓名、地址和驾驶执照号码，甚至可以调取个人照片。

由于暴力破解随机应用编号会非常耗时，Justin进一步探索门户，发现了第二个易受攻击的端点，该端点只需要电话号码和受害者的出生日期即可访问应用编号。

几分钟后，研究人员发现了一个本应仅限于管理员的公共域功能。该功能允许Justin访问申请人上传的文件，研究人员将其描述为“一个关键易受攻击的端点，几乎就隐藏在日常视线中供所有人使用”。

他继续说道：“为了达到最大影响，我们应该将这个易受攻击的端点与我们之前发现的端点链接起来，后者仅凭电话号码和出生日期就给了我们印度用户的应用编号。这最终使我们能够访问任何我们知道电话号码和出生日期的印度人的敏感个人文件。”

OTP问题

这还不是故事的结束。在向印度计算机应急响应小组（CERT-IN）报告上述漏洞并未收到回复后，Justin发现了一个安全性较差的一次性密码（OTP）系统，用于SYSADMIN账户。

他成功使用该管理员账户登录门户，获得了包括申请人搜索和文件查看在内的权限。研究人员还可以处理无需现场验证检查的申请，批准更改执照信息的请求，并访问在地区运输办公室工作的政府工作人员的个人可识别信息。

“简而言之，我直接访问了关键文件，如Aadhaar卡和所有1.85亿以上持有驾驶执照的印度人的护照，”研究人员指出。“我还可以生成任意数量的有效政府批准的驾驶执照。”

在此阶段，Justin向CERT-IN报告了额外的漏洞。研究人员于2022年11月7日发送了初始报告，第二次报告于12月5日发送。两份报告均被标记为已解决，修复于2023年1月25日确认。

在与The Daily Swig的对话中，Justin表示研究过程很简单，并且他没有因工作而面临任何不利的法律后果。他还说，CERT-IN除了在初始分类时自动回复“感谢您向CERT-IN报告此事件”外，没有提供任何信用。收到的反馈“仅限于他们让我知道报告的漏洞是如何修复的”。

The Daily Swig已向CERT-IN和Sarathi Parivahan发送了额外查询，但截至目前尚未收到任何回复。如果我们收到回复，将更新故事。