Η υπηρεσία secure document wallet «Digilocker», θα μπορούσε να επιτρέψει μη εξουσιοδοτημένη πρόσβαση σε hackers, όπως αποκάλυψε η κυβέρνηση της Ινδίας.
Το γεγονός οφείλεται σε μία ευπάθεια, η οποία θα μπορούσε να επιτρέψει σε hackers να παρακάμψουν το mobile OTP και να συνδεθούν ως άλλοι χρήστες χωρίς να τους ζητηθεί κωδικός πρόσβασης. Αυτό θα μπορούσε να επιτρέψει την εύκολη και μη εξουσιοδοτημένη πρόσβαση σε ευαίσθητα έγγραφα που έχουν ανέβει από Ινδούς πολίτες, στην πλατφόρμα που λειτουργεί από το κράτος.
Το DigiLocker είναι ένα document wallet που ελέγχεται από την κυβέρνηση και αποθηκεύει ευαίσθητα έγγραφα και πιστοποιητικά, όπως άδειες οδήγησης, καταχωρήσεις οχημάτων, πτυχία και άλλα παρόμοιο δεδομένα στο cloud.
Η κρίσιμη ευπάθεια στο DigiLocker ανακαλύφθηκε και αναφέρθηκε από δύο ανεξάρτητους ερευνητές ασφαλειας, τους Mohesh Mohan και Ashish Gahlot.
Αυτή η ευπάθεια θα μπορούσε να επιτρέψει σε κακόβουλους παράγοντες με τις κατάλληλες γνώσεις, να αποφύγουν με ευκολία την επαλήθευση δύο παραγόντων που απαιτείται και να αποκτήσουν πρόσβαση σε ένα λογαριασμό.
Η διαδικασία σύνδεσης θα μπορούσε να χειραγωγηθεί με τη βοήθεια βασικών πληροφοριών χρήστη από την κάρτα Aadhar και με την παρεμπόδιση και την αλλαγή των παραμέτρων της σύνδεσης της εφαρμογής στον server.
Αυτό σημαίνει ότι οι μη εξουσιοδοτημένοι χρήστες θα μπορούσαν να συνδεθούν, να δημιουργήσουν ένα νέο pin και να έχουν απεριόριστη πρόσβαση σε ευαίσθητα προσωπικά δεδομένα που είναι αποθηκευμένα στον cloud server της DigiLocker χωρίς καν να εισάγουν κωδικό πρόσβασης.
Η ευπάθεια στο DigiLocker εντοπίστηκε και αναφέρθηκε τον περασμένο μήνα και διορθώθηκε εν μέρη μέσα σε μερικές ημέρες. Αλλά το ζήτημα παράκαμψης του OTP επιλύθηκε μόλις χθες. Μέχρι στιγμής, δεν υπάρχουν αναφορές για μη εξουσιοδοτημένη πρόσβαση ή κατάχρηση δεδομένων χρήστη.
