פגם משמעותי מאפשר יצירה של זהות מזויפת בהודו
This post is also available in: 
English (אנגלית)
רובין ג'סטין, חוקר בתחום אבטחת הסייבר, פרסם לאחרונה בלוג ממצעים מפורט של חולשות משמעותיות של אתר סרט'י פריוהאן, האתר הרשמי של משרד התחבורה של ממשלת הודו.
האתר מאפשר ליוזרים להירשם עם בקשה לחידוש או יצירת רישיון נהיגה חדש. כאשר ג'סטין ניסה להירשם לחידוש דרכון, תוך דקות ספורות, הוא הצליח להגיע לנקודת קצה עם הרשאות כניסה פגומות עם בדיקות הרשאה חסרות.
על מנת להזדהות באתר, צריך להכניס את מספר הבקשה ואת תאריך הלידה של מעלה הבקשה. לאחר מחקר, ג'סטין גילה כי נקודת קצה שהייתה אמורה לבדוק את סטטוס הבקשה הייתה פגומה, כך שתוקף יכל להכניס מספר בקשה רנדומלי כדי לאסוף פרטים על מעלה הבקשה. הפרטים כללו את תאריך הלידה, השם המלא, כתובת המעלה, מספר רישיון הנהיגה, בנוסף לתמונה מלאה של המעלה הבקשה, כך על פי דיווח של portswigger.net.
ג'סטין הצליח גם לגשת אל דומיין ציבורי שהיה אמור להיות נגיש אך ורק לאדמינים של האתר. ג'סטין מצא כי ניתן לגשת למסמכים שהועלו על ידי אזרחים – חולשה זו הוגדרה על ידי החוקר כ-"חולשת נקודת קצה קריטית שפתוחה לניצול של כולם."
הוא המשיך: "כדי לייצר את ההשפעה הגדולה ביותר, אנחנו רק צריכים לחבר בין שתי החולשות שמצאנו, זה ייתן לנו את מספר הרישיון של כל יוזר הודי עם שימוש רק במספר הטלפון שלהם ותאריך הלידה. הליך זה נותן לנו את היכולת לגשת למסמכים האישיים והסודיים של כל אזרח מדינת הודו אם אנחנו יודעים את מספר הטלפון ותאריך הלידה שלהם."
"אם נסכם, הייתה לי את הגישה הישירה למסמכים קריטיים כמו מספרי הזהות והדרכונים של כל 185 מיליוני האזרחים של מדינת הודו בעלי רשימון נהיגה," כך ציין החוקר. "יכולתי לייצר כמה רישיונות נהיגה מזויפים שרציתי, עם אישור ממשלתי רשמי מוחתם."
