一位研究人员披露了他如何能够访问潜在1.85亿印度公民的个人身份信息(PII)，并伪造驾驶执照。2月20日，一名学生和网络安全研究员Robin Justin发布了一篇博文，其中包含影响印度公路运输和公路部网站Sarathi Parivahan的漏洞的详细信息。该门户允许公民申请学习许可证或驾驶执照。贾斯汀试图申请后者，但在几分钟内，他偶然发现了访问控制损坏且缺少授权检查的端点。

要进行身份验证，您只需要一个申请号和申请人的出生日期。然而，用于检查申请状态的端点存在缺陷，因此攻击者可以提供一个随机申请号来了解相关申请人的出生日期、姓名、地址和驾驶执照号码——以及调出个人照片.

由于暴力破解随机申请号码非常耗时，贾斯汀进一步探索了门户并发现了第二个易受攻击的端点，它只需要一个电话号码和受害者的出生日期即可访问申请号码。

几分钟后，研究人员发现了一个仅限管理员使用的公共领域功能。该功能允许Justin访问申请人上传的文件——研究人员将其描述为“极度脆弱的端点，完全隐藏在众目睽睽之下供所有人使用”。

他继续说道：“为了在这里获得最大的影响，我们应该将这个易受攻击的端点与我们之前发现的端点链接起来，该端点向我们提供了一位印度用户的申请号码，其中只有他们的电话号码和出生日期。这最终使我们能够访问任何我们知道其电话号码和出生日期的印度人的敏感个人文件。”

这不是故事的结局。在向印度计算机应急响应小组(CERT-IN) 报告上述漏洞但未收到任何响应后，Justin发现一个 SYSADMIN帐户的安全性很差的一次性密码(OTP)系统。

他设法使用这个管理员帐户登录到门户网站，授予他包括申请人搜索和文件查看在内的权力。研究人员还可以选择在没有亲自验证检查的情况下处理申请、批准更改许可证信息的请求，以及访问在地区交通办公室工作的政府工作人员的 PII。

“简而言之，我可以直接访问所有1.85亿以上持有驾照的印度人的Aadhaar卡和护照等重要文件，”研究人员指出。“我也可以根据需要生成尽可能多的政府批准的有效驾驶执照。”

在此阶段，Justin向CERT-IN报告了额外的漏洞。研究人员于2022年11月7日发送了第一份报告，并于12月5日发送了第二份报告。两份报告均已标记为已解决，并于2023年1月25日确认修复。

贾斯汀在接受采访时表示，研究过程很简单，他的工作没有面临任何不利的法律后果。

他还表示，除了在初始分类时对报告自动回复“感谢您向CERT-IN报告此事件”之外，CERT-IN没有提供任何信用。收到的反馈“仅限于让我知道报告的漏洞是如何修复的”。