DigiLocker bug rischiato informazioni di oltre 38m account



App DigiLocker del governo è stato trovato per avere un bug che ha messo le informazioni di oltre 38 milioni di titolari di account a rischio, consentendo agli hacker di superare facilmente il sistema di autenticazione dell’applicazione.

La vulnerabilità è stata scoperta dal ricercatore di sicurezza Ashish Gahlot, che ha dettagliato le sue scoperte in un post su Medium.

Il meccanismo di autenticazione di DigiLocker prevede l’utilizzo di una combinazione di un OTP e di un PIN a sei cifre per accedere all’archiviazione dei documenti basata su cloud. Gahlot ha notato che anche se l’applicazione richiede un processo di autenticazione in due passaggi per la registrazione, il processo può essere bypassato semplicemente aggiungendo il numero Aadhaar e cambiando un gruppo di parametri nell’applicazione. In questo modo, è atterrato su una pagina che chiede di impostare un nuovo PIN invece di digitare il PIN precedentemente impostato.

“Questo non solo cambia il PIN precedente dell’utente, ma dà anche l’accesso completo al Locker,” ha scritto nel post.

Il difetto di autenticazione non solo consente agli hacker di ottenere l’accesso ai profili senza richiedere una password, ma dà anche agli hacker l’accesso completo a profili utente specifici pure.

Secondo un rapporto di Gadgets 360, Gahlot ha contattato il team di DigiLocker e la vulnerabilità alla sicurezza è stata aggiornata.