网络安全公司CloudSEK的XVigil AI数字风险平台报告称,印度道路运输和高速公路部综合道路事故数据库Parivahan网站遭遇数据泄露。
据CloudSEK称,此次泄露事件暴露了综合道路事故数据库(iRAD)网站的源代码,导致其源代码和用户数据在暗网上泄露。
该公司表示:“CloudSEK已向印度交通部(MoRTH)通报了此次泄露事件。该公司敦促立即采取行动,确保iRAD网站的安全,并保护敏感用户数据。”
“我们发现代码中嵌入了敏感资产,包括主机名、数据库名称和密码。源代码中发现的用户名和密码非常简单,当本地访问服务器时很容易受到暴力破解攻击。”该网络安全公司指出。
源代码引用了sms.gov.in,这是一个国家信息中心(NIC)短信网关,政府部门使用它向印度国民发送短信。CloudSEK指出,源代码中嵌入的URL包括用户名和密码字段,如果被利用,可能会让未经授权的个人能够向收件人发送短信。
同一威胁行为者在暴露源代码后,于8月7日分享了来自iRAD网站易受攻击的API接口的10000条用户记录的样本数据集。此数据泄露是通过SQL注入实现的,凸显了重大漏洞。泄露的数据集包含用户ID、姓名、电子邮件、手机号码和密码等敏感信息。
经核实,样本数据集中的一些手机号码和姓名通过Truecaller进行了匹配。据CloudSEK称,该数据集还包括政府官员的电子邮件ID和明文密码。