セキュリティ研究者によると、インドの州政府のウェブサイトのバグにより、住民のアーダール番号、身分証明書、指紋のコピーを含む文書が誤って公開されたという。
このバグは、セキュリティ研究者が地元当局に報告した後、先週修正された。
スーラジート・マジュムダー氏は、西ベンガル州政府のe-Districtウェブポータルにバグを発見した。このポータルは、州民が出生証明書や死亡証明書の取得、建築申請などの行政サービスをオンラインで利用できるようにしている。マジュムダー氏によると、このウェブサイトのバグにより、土地の所有者に関する記録が記載された土地証書を、e-Districtウェブサイトから証書申請番号を推測することで入手することが可能になったという。
申請識別番号は、地方住民が証書のデジタルコピーを申請する際に州政府によって発行される 16 桁の固有の番号です。
すべてのアプリケーション識別番号が有効だったわけではありません。Burp Suiteなどの公開ツールを使用してウェブサイトのネットワークトラフィックを分析することで、Majumderは連続するアプリケーション番号のリスト全体を順に確認し、サーバーからの応答に基づいてアプリケーション識別番号が有効かどうかを判断できました。
申請識別番号にアクセスできれば、e-Districtシステムにログインした人なら誰でも土地権利証書の写しにアクセスできます。TechCrunchが確認した2つの土地権利証書記録には、権利証書に関係する人物の名前、写真、そして両手の指紋がすべて記載されています。1つの権利証書に複数の人物が記載されていることは珍しくありません。
証書には、個人が政府発行の身分証明書も含まれており、その中にはインドの国民IDおよび生体認証データベースの一部としてすべての国民に割り当てられる機密のアーダール番号も含まれています。アーダール番号は、銀行、携帯電話プラン、そして多くの政府サービスの利用に必要です。
テッククランチイベント
サンフランシスコ | 2025年10月27日~29日
マジュムダー氏は、この脆弱性がなりすましに悪用される可能性を懸念し、インドのコンピュータ緊急対応チーム(CERT-In)と西ベンガル州政府にウェブサイトの脆弱性を報告した。このバグはその後すぐに修正された。
マジュムダー氏以外にこのバグを発見した人物がいるかどうかは不明です。西ベンガル州政府とCERT-Inの担当者はコメント要請に応じませんでした。西ベンガル州政府のe-Districtウェブサイトによると、これまでに1700万件以上の申請を処理したとのことですが、そのうち土地証書に関連する申請の数は不明です。
地元メディアは、生体認証情報の窃盗と関連した詐欺が最近増加していると報じており、犯罪者はその情報を使って銀行口座を空にしていると言われている。
インド州政府のウェブサイトでCOVID-19の検査結果が公開
ザック・ウィテカーはTechCrunchのセキュリティエディターです。彼はまた、毎週のサイバーセキュリティニュースレター「今週のセキュリティ」の執筆者でもあります。
Signalのzackwhittaker.1337宛ての暗号化メッセージで連絡を取ることができます。また、メールで連絡を取るか、確認したい場合は[email protected]までご連絡ください。
バイオを見る
