Reklama

Cyberbezpieczeństwo

Wyciek danych osobowych 4 tysięcy Hindusów. Blef "hakerów"

Dane hinduskiego szpitala były przechowywane na niezabezpieczonym serwerze
Dane hinduskiego szpitala były przechowywane na niezabezpieczonym serwerze
Autor. Srinivasan Ananthakrishnan / Google Maps

Dane ponad czterech tysięcy osób związanych z hinduskim Chettinad Hospital and Research Institute są widoczne z poziomu Internetu. Wśród wielu plików można znaleźć m.in. skany dokumentów zawierających dane osobowe. Jedna z grup hakerskich przypisuje sobie „atak”.

Na jednym z kanałów na Telegramie widniała deklaracja „grupy hakerskiej” o zaatakowaniu jednego z hinduskich uniwersytetów. Załączone dokumenty zawierają dane osobowe obywateli Indii. Grupa twierdzi, że ich działania są częścią operacji przeciwko krajom wspierającym „izraelską okupację”.

Zrzut ekranu wiadomości na Telegramie
Zrzut ekranu wiadomości na Telegramie
Autor. Telegram "hakerów"

Czar pryska po naciśnięciu Download. Zostajemy przekierowani do strony internetowej, składającej się z zawartości katalogu uploads. Naszym oczom ukazało się dziesięć folderów.

Zawartość katalogu /uploads
Zawartość katalogu /uploads
Autor. Serwer w Internecie
login.php na stronie
login.php na stronie
Autor. Serwer w Internecie

Czytaj też

Warto podkreślić, że strona wykorzystuje wersję Apache sprzed pięciu lat. Serwer najprawdopodobniej należy do samego szpitala i i „hakerzy” zapewne nie mieli żadnego udziału w tym, że pliki są w żaden sposób niezabezpieczone i widoczne dla wszystkich zainteresowanych. Grupa przypisała sobie „atak”, którego raczej nie było.

Zrzut ekranu z Shodana odnośnie serwera
Zrzut ekranu z Shodana odnośnie serwera
Autor. shodan.io
Reklama

Dane Hindusów

Cztery z dziesięciu katalogów są prawie puste i nie zawierają praktycznie żadnych poufnych danych. Niestety katalog aadhar zawiera 4325 plików, które w dużej mierze są zdjęciami oraz skanami hinduskiego aadhaar, czyli odpowiednika polskiego numeru PESEL. Folder zawierał również jedno zdjęcie paszportu.

Pliki dostępne na niezabezpieczonej stronie
Pliki dostępne na niezabezpieczonej stronie
Autor. Skan aadhaar oraz zdjęcie paszportu

Katalog employeephotos zawiera zdjęcia pracowników. W folderach pancard oraz voter można znaleźć kolejne dokumenty zawierające dane osobowe Hindusów.

Permanent Account Number oraz Voter ID Card
Permanent Account Number oraz Voter ID Card
Autor. Pliki dostępne na niezabezpieczonej stronie

Czytaj też

Katalogi payslip oraz resume zawierały paski płacowe oraz CV. We wszystkich wspomnianych folderach znajdowało się ponad cztery tysiące plików, które w większości odpowiadały opisowi katalogu.

Pasek płacowy
Pasek płacowy
Autor. Pliki dostępne na niezabezpieczonej stronie
Reklama

Podsumowanie

Przechowywanie danych osobowych w takiej formie jest skrajnie nieodpowiedzialne. Miejmy nadzieję, że hinduski szpital zaprzestanie takich praktyk. Przerażające jest to, że katalog jest nadal aktywnie używany – ostatnia aktualizacja miała miejsce 28 sierpnia o 15:09 czasu lokalnego, dwa dni po poście „hakerów” na Telegramie.

Powiadomiliśmy ową organizację oraz CERT-In, hinduski odpowiednik CERT Polska.

Czytaj też

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].

Reklama
Reklama

Haertle: Każdego da się zhakować

Materiał sponsorowany

Komentarze

    Reklama