EraDev
Ghoster-Xاختراق الموقع الإلكتروني لوزارة النقل البري والطرق السريعة في الهند
كشف باحث امني كيف تمكن من الوصول إلى معلومات التعريف الشخصية (PII) لما يُحتمل أن يكون 185 مليون مواطن هندي - وإنشاء رخص قيادة مزيفة ايضا.
في 20 فبراير ، نشر الطالب والباحث في مجال الأمن السيبراني Robin Justin مشاركة مدونة تحتوي على تفاصيل الثغرات الأمنية التي تؤثر على Sarathi Parivahan ، الموقع الإلكتروني لوزارة النقل البري والطرق السريعة في الهند.
تتيح البوابة للمواطنين التقدم للحصول على رخصة قيادة. كان جاستن يحاول التقدم بطلب للحصول على رخصة قيادة عندما عثر في غضون دقائق ، على نقاط نهاية مع وجود ضوابط وصول معطلة وفقدان عمليات التحقق من التفويض.
باختصار ، كان لديه وصول مباشر إلى المستندات الهامة مثل بطاقات Aadhaar وجوازات السفر لجميع الهنود البالغ عددهم 185 مليون واكثر الذين يحملون رخصة قيادة ، وكل ما احتاجه للوصول إلى مستنداتك هو إما اسمك الكامل أو رقم هاتفك. كان بإمكانه أيضًا إنشاء العديد من رخص القيادة الصالحة المعتمدة من الحكومة كما أراد لأي شخص من اختياره. هذا ليس سوى شئ من فيض وكان هناك الكثير مما كان ممكنًا. استغرقت عملية البحث عن هذه الثغرات الأمنية واستغلالها ما يقرب من ثلاث ساعات في المجمل.
كيف تمت عملية الاختراق ؟
للمصادقة ، تحتاج رقم الطلب وتاريخ ميلاد مقدم الطلب. ومع ذلك ، كانت الـ Endpoint التي تهدف إلى التحقق من حالة التطبيق بها عيب ، لذلك يمكن للمهاجم توفير رقم طلب عشوائي لمعرفة تاريخ ميلاد مقدم الطلب واسمه وعنوانه ورقم رخصة القيادة - وكذلك سحب صورة للفرد.
نظرًا لأن محاولة التخمين العشوائي لارقام التطبيق ستستغرق وقتًا طويلاً ، فقد استكشف جاستن البوابة بشكل أكبر ووجد Endpoint ثانية ضعيفة ، والتي تتطلب فقط رقم هاتف وتاريخ ميلاد الضحية للوصول إلى رقم التطبيق. يتم إنشاء أرقام البطالة التي تم تشغيلها بشكل عشوائي.
بعد بضع دقائق ، وجد الباحث ميزة المجال العام التي كان من المفترض أن تقتصر على المسؤولين. سمحت هذه الميزة لجستين بالوصول إلى المستندات التي تم تحميلها من قبل مقدم الطلب - والتي وصفها الباحث بأنها "Endpoint ضعيفة للغاية تختبئ تمامًا في مرمى البصر ليستخدمها الجميع".
وتابع: "لتحقيق أقصى تأثير هنا ، يجب علينا ربط الـ Endpoint الضعيفة هذه بالنقطة التي وجدناها سابقًا ، والتي أعطتنا رقم التطبيق لمستخدم هندي مع رقم هاتفه وتاريخ ميلاده فقط. يمنحنا هذا في النهاية القدرة على الوصول إلى المستندات الشخصية الحساسة لأي هندي نعرف رقم الهاتف وتاريخ الميلاد الخاص به".
