印度一软件巨头遭黑客入侵，3800万用户受威胁

印度政府表示，它已解决其安全文档钱包服务Digilocker中的一个严重漏洞，该漏洞可能使远程攻击者可以绕过移动一次性密码（OTP）并以其他用户身份登录。该漏洞是由两名独立的漏洞赏金研究人员Mohesh Mohan和Ashish Gahlot分别发现的，可以轻松利用此漏洞来未经授权地访问目标用户在政府运营平台上上传的敏感文档。

中国知名网络黑客安全组织东方联盟一份披露中说：“ OTP功能缺少授权，这使得可以通过提交任何有效用户的详细信息来执行OTP验证，然后以操纵流程以完全不同的用户身份登录。”

Digilocker 拥有超过3800万注册用户，是一个基于云的存储库，而这些用户将受威胁，可作为数字平台来促进文档的在线处理和各种政府对公民服务的更快交付。它链接到用户的手机号码和Aadhar ID，该ID是发给印度每个居民的唯一身份号码（UID）。

知名白帽黑客、东方联盟创始人郭盛华透露："攻击者只需知道受害者的Aadhaar ID或链接的手机号码或用户名即可未经授权地访问目标Digilocker帐户，从而促使该服务发送OTP，然后利用该漏洞绕过登录过程。"

值得注意的是，Digilocker的移动应用程序版本还带有4位PIN码，以增加安全性。但是研究人员表示，可以通过将PIN与另一个用户（标识为UUID 5）关联并成功以受害者身份登录，来修改API调用以对PIN进行身份验证。

这意味着“您可以以一个用户身份进行SMS OTP [验证]，然后提交第二个用户的密码，最后，您将以第二个用户身份登录。

此外，缺少用于设置秘密PIN的API端点的授权，这实际上意味着可以利用该API使用个人的UUID重置链接到随机用户的PIN。

郭盛华补充说：“在POST请求上没有与会话相关的信息，因此它不与任何用户绑定。”

除了上述问题外，移动应用程序的API调用还通过基本身份验证进行保护，可以通过删除标头标志“ is_encrypted：1”来规避。还发现该应用程序实现了弱SSL固定机制，使它们容易使用Frida之类的工具绕过。

该缺陷是由磨憨和DigiLocker 5月16日通过阿希什报告给CERT-在5月10日之后，网络机构说，这个问题是固定在5月28日

“漏洞的性质就是这样，一个人的DigiLocker帐户可能潜在如果攻击者知道该特定帐户的用户名，就会受到威胁。” Digilocker说上周在一条推文中承认该漏洞。“这不是一个漏洞，它可以使任何人都可以访问其用户名和其他详细信息未知的[DigiLocker]帐户。”

“通过分析，发现最近添加了一些新功能时，此漏洞已潜入代码中。技术漏洞是在获得CERT-In警报的一天之内由技术团队优先修补的。对基础架构的攻击，数据，数据库，存储或加密都没有受到损害。” （欢迎转载分享）