6,700,000 ആധാര്‍ നമ്പരുകള്‍ Indane ല്‍ നിന്ന് ചോര്‍ന്നു

ഫെബ്രുവരി 10 ന് എനിക്കൊരു സന്ദേശം കിട്ടി.

ഒരേ വരിയില്‍ “ആധാര്‍” എന്നും “ചോര്‍ച്ച” എന്നും എഴുതിയത് വഴി ഇദ്ദേഹം എന്റെ താല്‍പ്പര്യം നേടി. കുറച്ച് സന്ദേശങ്ങള്‍ക്ക് ശേഷം അദ്ദേഹം ഒരു ലിങ്ക് അയച്ചു തന്നു.

ആ താളില്‍ ധാരാളം നീരുള്ള വിവരങ്ങളുണ്ടായിരുന്നു:
– “ഉപഭോക്തൃ നമ്പര്‍” നോട് ബന്ധപ്പെട്ട ലിങ്കില്‍ “aadhar_no” എന്ന ഒരു parameter ഉള്‍പ്പെട്ടിരുന്നു.
– “ഉപഭോക്താവിന്റെ പേര്”
– “ഉപഭോക്തൃ വിലാസം”
– ഏറ്റവും താഴെ “രേഖകളുടെ എണ്ണം”
– ലിങ്കിന്റെ കൂടെ dealerID എന്ന് വിളിക്കുന്ന ഒരു parameter

അധികാരം കൊടുക്കലില്ലാതെ പ്രാദേശിക ഡീലറുടെ സൈറ്റില്‍ Indane ചോര്‍ത്തുന്നത് പേരുകള്‍, വിലാസങ്ങള്‍, ഉപഭോക്താക്കളുടെ ആധാര്‍ നമ്പരുകള്‍ എന്നിവയാണ്. എന്നാല്‍ അത്രമാത്രം വലുതാണ് ഈ ചോര്‍ച്ച?

dealerID parameter ന്റെ മൂല്യത്തില്‍ മാറ്റം വരുത്തിയാല്‍ നമുക്ക് മറ്റൊരു ഡീലറിന്റെ താഴെയുള്ള ഉപഭോക്താക്കളുടെ വിവരങ്ങള്‍ കിട്ടും. അതുകൊണ്ട് ചോര്‍ച്ചയുടെ വലിപ്പം മനസിലാക്കണമെങ്കില്‍ Indane ഡീലര്‍മാരുടെ ഐഡികള്‍ കിട്ടണം.

വിക്കിപ്പീഡിയ പറയുന്നതനുസരിച്ച്, 9 കോടി കുടുംബങ്ങള്‍ക്ക് 9100 വിതരണക്കാരിലൂടെ Indane സേവനം നല്‍കുന്നുണ്ട്. നമുക്ക് ഇവിടെ ഒരു കഥയുണ്ട്. ഇതിനെക്കുറിച്ച് എനിക്ക് കൂടുതല്‍ അന്വേഷിക്കണം.

അവര്‍ക്ക് ഒരു Android ആപ്പുണ്ട്. അത് പരിശോധിക്കുന്നത് രസകരമായിരിക്കും.

അവരുടെ ആപ്പില്‍ “വിതരണക്കാരനെ കണ്ടെത്തുക” എന്ന സംവിധാനം ഉണ്ടാകും. അടിയില്‍ എന്തായിരിക്കും സംഭവിക്കുന്നത്‍?

“Locate Your Distributor” സൌകര്യം ഉപയോഗിച്ചപ്പോള്‍ സെര്‍വ്വര്‍ “bgadistrict” ന് അനുസരിച്ചുള്ള ഡീലറുടെ idകള്‍ അയച്ചുതന്നു. അങ്ങനെ എനിക്ക് 714 bgadistrict എളുപ്പത്തില്‍ കണ്ടെത്താനായി.

കൊള്ളാം, ഇപ്പോള്‍ കോഡെഴുതാന്‍ സമയമായി! ഈ ചോര്‍ച്ചയുടെ വലിപ്പം കാണിക്കുന്ന എല്ലാം നമുക്ക് കിട്ടി. ആന്‍ഡ്രോയിഡ് ആപ്പില്‍ കണ്ടെത്തിയ endpoint ന് നന്ദി. എല്ലാ ഡീലര്‍മാരുടേയും ശരിയായ ഐഡികളും നമുക്കെടുക്കാം. പ്രാദേശിക ഡീലറുടെ പോര്‍ട്ടലില്‍ നിന്ന് “മൊത്തം രേഖകളും” വലിച്ചെടുക്കാം.

കുറച്ച് മിനിട്ടുകള്‍ക്ക് ശേഷം, ഞാന്‍ ഈ python script എഴുതി. അത് 11062 ഡീലര്‍മാരുടെ ശരിയായ ഐഡികള്‍ നല്‍കി. ഒരു ദിവസം കഴിഞ്ഞപ്പോള്‍ 9490 ഡീലര്‍മാരെ എന്റെ script ടെസ്റ്റ് ചെയ്തു. ഈ ചോര്‍ച്ച കാരണം 5,826,116 Indane ഉപഭോക്താക്കളുടെ വിവരങ്ങളാണ് പുറത്ത് വന്നത്.

ദൌര്‍ഭാഗ്യവശാല്‍ Indane എന്റെ IP ബ്ലോക്ക് ചെയ്തു. അതുകൊണ്ട് ശേഷിച്ച 1572 ഡീലര്‍മാരെ ടെസ്റ്റ് ചെയ്യാനെനിക്കായില്ല. ഇത് ബാധിച്ചത് 6,791,200 ഉപഭോക്താക്കളെയാണെന്ന് ചില അടിസ്ഥാന ഗണിതം ചെയ്ത് നോക്കിയതനുസരിച്ച് നമുക്ക് കണക്കാക്കാം.

സംഗ്രഹം
– പ്രാദേശിക ഡീലറുടെ സൈറ്റില്‍ നിര്‍ണ്ണയിക്കലില്ലാത്തതിനാല്‍ ഉപഭോക്താക്കളുടെ പേരുകള്‍, വിലാസങ്ങള്‍, ആധാര്‍ നമ്പരുകള്‍ ചോരാന്‍ Indane അനുവദിക്കുന്നു
– Indane ന് 11062 ഡീലര്‍മാരുണ്ട്
– ഈ പ്രശ്നം ബാധിക്കുന്നത് 6,791,200 ഉപഭോക്താക്കളെയാണ്.

കാല ചക്രം

02/10/19: അ‍ജ്ഞാതനായ ട്വിറ്റര്‍ പിന്‍തുടരാളിയില്‍ നിന്ന് സൂചന
02/15/19: പ്രശ്നം Indane നെ അറിയിക്കുന്നു
02/19/19: Indane മറുപടി ഒന്നും പറയുന്നില്ല. വിവരം പൊതുജനങ്ങള്‍ക്കായി പ്രസിദ്ധീകരിക്കുന്നു.

— സ്രോതസ്സ് medium.com | Elliot Alderson | Feb 18 2019

Nullius in verba


wordpress.com നല്‍കുന്ന സൌജന്യ സേവനത്താലാണ് ഈ സൈറ്റ് പ്രവര്‍ത്തിക്കുന്നത്. അതിനാല്‍ അവര്‍ പരസ്യങ്ങളും സൈറ്റില്‍ കൂട്ടിച്ചേര്‍ക്കുന്നു. അതാണ് അവരുടെ വരുമാനം. നമുക്ക് ഒന്നും കിട്ടില്ല. നാം പണം അടച്ചാലേ പരസ്യങ്ങള്‍ ഒഴുവാക്കാനാവൂ.

ലാഭേച്ഛയില്ലാതെ പ്രവര്‍ത്തിക്കുന്ന ഒരു സ്വതന്ത്ര ജനകീയ മാധ്യമമാണ് നേരിടം. വായനക്കാരില്‍ നിന്ന് ചെറിയ തുകള്‍ ശേഖരിച്ച് പ്രവര്‍ത്തിക്കുന്ന ഞങ്ങള്‍ക്ക് താങ്കളുടെ സഹായം ആവശ്യമാണ്. അതിനാല്‍ ഈ ജനകീയ മാധ്യമത്തിന്റെ നിലനില്‍പ്പ് ആഗ്രഹിക്കുന്ന താങ്കള്‍ കഴിയുന്ന രീതിയില്‍ പങ്കാളികളാവുക.

ഒരു മറുപടി കൊടുക്കുക

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  മാറ്റുക )

Google photo

You are commenting using your Google account. Log Out /  മാറ്റുക )

Twitter picture

You are commenting using your Twitter account. Log Out /  മാറ്റുക )

Facebook photo

You are commenting using your Facebook account. Log Out /  മാറ്റുക )