ข้อบกพร่องร้ายแรงที่พบในแอพ DigiLocker ของรัฐบาลอินเดียทำให้ข้อมูลส่วนบุคคลของประชาชนกว่า 3.8 ล้านคนตกอยู่ในความเสี่ยง แอป DigiLocker สร้างขึ้นโดยเป็นส่วนหนึ่งของโครงการ Digital India โดยรัฐบาลกลาง ให้ผู้ใช้ Aadhar ทุกคนเข้าถึงระบบคลาวด์เพื่อเก็บสำเนาดิจิทัลของเอกสาร/ใบรับรองที่แท้จริง เช่น ใบขับขี่ ทะเบียนรถ ใบรายงานผลการเรียน เป็นต้น บั๊กที่ค้นพบโดยนักวิจัยด้านความปลอดภัย Ashish Gehlot เมื่อเดือนที่แล้วทำให้แฮ็กเกอร์ที่มีความรู้ด้านเทคนิคสามารถข้ามการตรวจสอบสิทธิ์แบบสองปัจจัยที่จำเป็นในการลงชื่อเข้าใช้แอปที่เปิดเผยข้อมูลส่วนบุคคลที่ละเอียดอ่อนได้อย่างง่ายดาย จากข้อมูลของ Gehlot เขาสามารถจัดการกระบวนการเชื่อมต่อได้โดยใช้ข้อมูลผู้ใช้พื้นฐานเช่น Aadhar และโดยการสกัดกั้นและแก้ไขพารามิเตอร์เพื่อเชื่อมต่อแอปพลิเคชันกับเซิร์ฟเวอร์ ข้อบกพร่องดังกล่าวหมายความว่าผู้ใช้ที่ไม่ได้รับอนุญาตสามารถเข้าสู่ระบบ สร้าง PIN ใหม่ และเข้าถึงข้อมูลส่วนตัวที่จัดเก็บไว้ในเซิร์ฟเวอร์คลาวด์ได้อย่างไม่จำกัด โดยไม่ต้องป้อนรหัสผ่าน แม้ว่า Gehlot จะระบุและรายงานช่องโหว่ดังกล่าวเมื่อเดือนที่แล้ว แต่ก็ได้รับการแก้ไขบางส่วนภายในเวลาไม่กี่วัน อย่างไรก็ตาม ปัญหาการแก้ปัญหา OTP ได้รับการแก้ไขเมื่อวานนี้เท่านั้น ปัจจุบัน ยังไม่เป็นที่แน่ชัดว่าข้อมูลนี้ถูกเข้าถึงหรือนำไปใช้ในทางที่ผิดโดยผู้ใช้ที่ไม่ได้รับอนุญาตหรือไม่ นี่ไม่ใช่ครั้งแรกที่การฟ้องร้องของรัฐบาลอินเดียได้รับการพิสูจน์แล้วว่ามีความเสี่ยง เมื่อเดือนที่แล้ว นักวิจัยด้านความปลอดภัยพบปัญหาเกี่ยวกับแอปมือถือ Aarogya Setu ที่รัฐบาลมอบหมายซึ่งใช้สำหรับการกรองระดับบนสุดและการติดตามผู้สัมผัสเชื้อโควิด-19 เมื่อวานนี้ การละเมิดข้อมูลในแอปการชำระเงิน Bhim ที่ได้รับการสนับสนุนจากรัฐบาลได้เปิดเผยข้อมูลส่วนบุคคลที่มีความละเอียดอ่อนสูงของผู้คนมากกว่า 70 ล้านคน ที่มา: NDTV