ഫെബ്രുവരി 10 ന് എനിക്കൊരു സന്ദേശം കിട്ടി.
ഒരേ വരിയില് “ആധാര്” എന്നും “ചോര്ച്ച” എന്നും എഴുതിയത് വഴി ഇദ്ദേഹം എന്റെ താല്പ്പര്യം നേടി. കുറച്ച് സന്ദേശങ്ങള്ക്ക് ശേഷം അദ്ദേഹം ഒരു ലിങ്ക് അയച്ചു തന്നു.
ആ താളില് ധാരാളം നീരുള്ള വിവരങ്ങളുണ്ടായിരുന്നു:
– “ഉപഭോക്തൃ നമ്പര്” നോട് ബന്ധപ്പെട്ട ലിങ്കില് “aadhar_no” എന്ന ഒരു parameter ഉള്പ്പെട്ടിരുന്നു.
– “ഉപഭോക്താവിന്റെ പേര്”
– “ഉപഭോക്തൃ വിലാസം”
– ഏറ്റവും താഴെ “രേഖകളുടെ എണ്ണം”
– ലിങ്കിന്റെ കൂടെ dealerID എന്ന് വിളിക്കുന്ന ഒരു parameter
അധികാരം കൊടുക്കലില്ലാതെ പ്രാദേശിക ഡീലറുടെ സൈറ്റില് Indane ചോര്ത്തുന്നത് പേരുകള്, വിലാസങ്ങള്, ഉപഭോക്താക്കളുടെ ആധാര് നമ്പരുകള് എന്നിവയാണ്. എന്നാല് അത്രമാത്രം വലുതാണ് ഈ ചോര്ച്ച?
dealerID parameter ന്റെ മൂല്യത്തില് മാറ്റം വരുത്തിയാല് നമുക്ക് മറ്റൊരു ഡീലറിന്റെ താഴെയുള്ള ഉപഭോക്താക്കളുടെ വിവരങ്ങള് കിട്ടും. അതുകൊണ്ട് ചോര്ച്ചയുടെ വലിപ്പം മനസിലാക്കണമെങ്കില് Indane ഡീലര്മാരുടെ ഐഡികള് കിട്ടണം.
വിക്കിപ്പീഡിയ പറയുന്നതനുസരിച്ച്, 9 കോടി കുടുംബങ്ങള്ക്ക് 9100 വിതരണക്കാരിലൂടെ Indane സേവനം നല്കുന്നുണ്ട്. നമുക്ക് ഇവിടെ ഒരു കഥയുണ്ട്. ഇതിനെക്കുറിച്ച് എനിക്ക് കൂടുതല് അന്വേഷിക്കണം.
അവര്ക്ക് ഒരു Android ആപ്പുണ്ട്. അത് പരിശോധിക്കുന്നത് രസകരമായിരിക്കും.
അവരുടെ ആപ്പില് “വിതരണക്കാരനെ കണ്ടെത്തുക” എന്ന സംവിധാനം ഉണ്ടാകും. അടിയില് എന്തായിരിക്കും സംഭവിക്കുന്നത്?
“Locate Your Distributor” സൌകര്യം ഉപയോഗിച്ചപ്പോള് സെര്വ്വര് “bgadistrict” ന് അനുസരിച്ചുള്ള ഡീലറുടെ idകള് അയച്ചുതന്നു. അങ്ങനെ എനിക്ക് 714 bgadistrict എളുപ്പത്തില് കണ്ടെത്താനായി.
കൊള്ളാം, ഇപ്പോള് കോഡെഴുതാന് സമയമായി! ഈ ചോര്ച്ചയുടെ വലിപ്പം കാണിക്കുന്ന എല്ലാം നമുക്ക് കിട്ടി. ആന്ഡ്രോയിഡ് ആപ്പില് കണ്ടെത്തിയ endpoint ന് നന്ദി. എല്ലാ ഡീലര്മാരുടേയും ശരിയായ ഐഡികളും നമുക്കെടുക്കാം. പ്രാദേശിക ഡീലറുടെ പോര്ട്ടലില് നിന്ന് “മൊത്തം രേഖകളും” വലിച്ചെടുക്കാം.
കുറച്ച് മിനിട്ടുകള്ക്ക് ശേഷം, ഞാന് ഈ python script എഴുതി. അത് 11062 ഡീലര്മാരുടെ ശരിയായ ഐഡികള് നല്കി. ഒരു ദിവസം കഴിഞ്ഞപ്പോള് 9490 ഡീലര്മാരെ എന്റെ script ടെസ്റ്റ് ചെയ്തു. ഈ ചോര്ച്ച കാരണം 5,826,116 Indane ഉപഭോക്താക്കളുടെ വിവരങ്ങളാണ് പുറത്ത് വന്നത്.
ദൌര്ഭാഗ്യവശാല് Indane എന്റെ IP ബ്ലോക്ക് ചെയ്തു. അതുകൊണ്ട് ശേഷിച്ച 1572 ഡീലര്മാരെ ടെസ്റ്റ് ചെയ്യാനെനിക്കായില്ല. ഇത് ബാധിച്ചത് 6,791,200 ഉപഭോക്താക്കളെയാണെന്ന് ചില അടിസ്ഥാന ഗണിതം ചെയ്ത് നോക്കിയതനുസരിച്ച് നമുക്ക് കണക്കാക്കാം.
സംഗ്രഹം
– പ്രാദേശിക ഡീലറുടെ സൈറ്റില് നിര്ണ്ണയിക്കലില്ലാത്തതിനാല് ഉപഭോക്താക്കളുടെ പേരുകള്, വിലാസങ്ങള്, ആധാര് നമ്പരുകള് ചോരാന് Indane അനുവദിക്കുന്നു
– Indane ന് 11062 ഡീലര്മാരുണ്ട്
– ഈ പ്രശ്നം ബാധിക്കുന്നത് 6,791,200 ഉപഭോക്താക്കളെയാണ്.
കാല ചക്രം
02/10/19: അജ്ഞാതനായ ട്വിറ്റര് പിന്തുടരാളിയില് നിന്ന് സൂചന
02/15/19: പ്രശ്നം Indane നെ അറിയിക്കുന്നു
02/19/19: Indane മറുപടി ഒന്നും പറയുന്നില്ല. വിവരം പൊതുജനങ്ങള്ക്കായി പ്രസിദ്ധീകരിക്കുന്നു.
— സ്രോതസ്സ് medium.com | Elliot Alderson | Feb 18 2019
Nullius in verba
ആരുടേയും വാക്ക് വിശ്വസിക്കരുത്
ലാഭേച്ഛയില്ലാതെ പ്രവര്ത്തിക്കുന്ന ഒരു സ്വതന്ത്ര ജനകീയ മാധ്യമമാണ് നേരിടം. ഈ പ്രവര്ത്തനത്തില് താങ്കളുടെ സഹായവും ആവശ്യമുണ്ട്. അതിനാല് ഈ ജനകീയ മാധ്യമത്തിന്റെ നിലനില്പ്പ് ആഗ്രഹിക്കുന്ന താങ്കള് കഴിയുന്ന രീതിയില് പങ്കാളികളാവുക.
To read post in English:
in the URL, before neritam. append en. and then press enter key.
