标签: 印度

印度外交部泄露外籍人士护照详细信息

Cybernews 研究团队12月12日报告称,印度外交部专门负责对外联络海外印度侨民的平台Global Pravasi Rishta Portal 泄露了敏感数据,包括用户个人姓名和护照详细信息。 最初,Cybernews 研究团队收到警告,称 Global Pravasi Rishta Portal 正在泄露敏感的用户数据,经过核实,发现该平台以明文形式公开了个人姓名、居住国家和电子邮件地址,以及职业状况、电话和护照号码。泄露原因可能是由于安全措施不力,例如缺乏有效的身份验证。 事后,Cybernews 团队已联系外交部,告知其泄露情况事件,但没有收到回复。几天后,该安全问题得到了解决。 Global Pravasi Rishta Portal 隶属印度外交部,是一个旨在对外联络印度使团和3000 万印度侨民的平台。虽然不清楚所泄露护照的人员构成,但Rishta Portal 英语中的意思是“外籍人士关系”。 近年来,护照信息泄露事件时有发生。2020 年,万豪国际披露了一起数据泄露事件,泄露了超过 500 万酒店客人的详细信息,包括他们的护照号码;2018 年,加拿大航空公司的移动应用程序遭到破坏,2万 名客户的护照号码被泄露。 根据 Cybernews 研究团队的说法,护照信息泄露会大大增加用户自身安全风险,比如攻击者可能会完全盗用这些信息。研究人员表示,护照的详细信息可能被用于某种类型的欺诈,呼吁用户应该密切关注他们的信用档案和历史记录,并确保使用具有强密码的多重身份验证。   转自 Freebuf,原文链接:https://www.freebuf.com/news/352311.html 封面来源于网络,如有侵权请联系删除

印度最大医院遭网络攻击:业务中断超 4 天 只能手动处理工作

安全内参11月28日消息,印度主要公共医疗机构之一,全印度医学科学研究所(AIIMS)遭遇网络攻击,出现业务中断。 此次中断影响到数百位使用基础医疗保健服务的患者和医生,波及患者入院、出院和计费等系统。 AIIMS成立于1956年,拥有数千位医学本科生和研究生。该机构同时也是印度最大的国有医院之一,可容纳2200多张病床。 医院方面表示,上周三(11月23日)发生的网络攻击似乎是一起勒索软件攻击,因为黑客修改了受感染文件的扩展名。 AIIMS管理人员接受采访时表示,自上周三上午开始,其患者护理服务受到了严重影响。 由于负责记录患者数据的服务器停止工作,该机构只能转向手动操作,包括手写病患记录。中断还导致排队周期延长,应急处置工作也开始出现失误。 在经历最初几个小时的中断之后,医院方面发布一份声明,确认了网络攻击的存在。中断一直持续到次日。 一位住院医生在采访中表示,“有很多采血样本无法发送,没法进行影像学研究,也看不到之前的报告和图像。大量操作只能以手动方式完成,但这样既耗时也更容易出错。” 到上周四晚些时候,医院方面指示医生继续手写记录,包括在系统中断期间手写出生和死亡证明。 据mint报道,直到上周六,医院服务器依然受影响,相关工作继续以人工方式进行。 印度国家信息中心的一支团队正与印度计算机应急响应小组密切合作,帮助AIIMS尽快恢复系统。据一位直接了解事件的人士称,目前正努力从备份中恢复数据。 与此同时,包括中央调查局和德里警局情报整合与战略行动部在内的多个执法机构,也在着手调查这起事件的幕后黑手。警方已经就此事提出正式控告。 目前还不清楚,恶意黑客能否访问到患者的细节数据。 转自 安全内参,原文链接:https://www.secrss.com/articles/49466 封面来源于网络,如有侵权请联系删除

印度证券业关键机构遭恶意软件入侵,部分设备已隔离

安全内参11月22日消息,总部位于孟买的印度领先中央证券存管机构Central Depository Services Limited(CDSL)表示,其系统已遭恶意软件入侵。 上周五(11月18日),该证券存管机构向印度国家证券交易所提交一份文件,称其检测到“一些内部设备”已遭恶意软件影响。 文件指出,“出于谨慎考量,我公司立即隔离了这些设备,并脱离资产交易市场以避免影响其他部分。” CDSL表示将继续开展调查,但截至目前,“尚无迹象表明有任何机密信息或投资者数据因此事件而遭泄露。” CDSL并未透露该恶意软件的具体细节。截至本文撰稿时,该公司网站已经关闭,且CDSL拒绝解释网站关停是否与攻击事件有关。 CDSL发言人Banali Banerjee表示暂时无法回答其他问题,包括公司是否保存有能确定哪些数据被泄露(如果确有泄露)的日志记录。发言人只表示,“我们正在努力解决问题。” 中央证券存管机构为印度证券业运转关键机构 CDSL号称维护并服务于全国各投资者的近7500万个交易员账户(在印度被称为demat账户),该公司的重要股东包括孟买证券交易所、渣打银行和印度Life Insurance Corporation(LIC)人寿保险公司。 CDSL成立于1999年,是印度唯一一家公开上市的同类公司,也是仅次于印度最早证券存管机构National Depository Services Limited(NDSL)的第二大存管机构。CDSL允许用户以电子形式持有证券及相关交易,并协助证券交易所进行贸易结算。 印度证券交易委员会要求,所有想交易印度证券的人都必须拥有Demat账户。而只有国家证券存托有限公司和中央存托服务有限公司这两个机构才能批准Demat账户开设。 CDSL公司在提交的文件中表示,“CDSL团队已经向有关当局上报了此次事件,目前正与政府网络安全顾问合作,共同分析事件影响。” 转自 安全内参,原文链接:https://www.secrss.com/articles/49261 封面来源于网络,如有侵权请联系删除

印度在新的隐私法案中提议允许与某些国家进行跨境数据传输

之前印度提出了一项新的全面数据隐私法,该法将规定公司如何处理其公民的数据,包括允许与某些国家进行信息的跨境转移,三个月后,印度在隐私倡导者和科技巨头的审查和关注下突然撤回了之前的提案。该国信息技术部于周五公布了一份名为《2022年数字个人数据保护法案》的拟议规则草案,供公众咨询。它将在12月17日前听取公众的意见。 草案说:”本法案的目的是规定数字个人数据的处理方式,既要承认个人保护其个人数据的权利,又要承认为合法目的处理个人数据的必要性,以及与此相关或附带的事项。” 该草案允许与”某些被通知的国家和地区”进行数据的跨境互动,此举被视为科技公司的胜利。 草案说:”中央政府在对其认为必要的因素进行评估后,可以通知印度以外的国家或地区,数据受托人可以按照规定的条款和条件将个人数据转移到这些国家或地区”,但没有指明具体国家。 代表Meta、Google、亚马逊和其他许多科技公司的游说团体的亚洲互联网联盟曾要求新德里允许数据跨境转移。他们在今年早些时候给信息技术部的一封信中写道:”跨境转移的决定应该不受行政或政治干预,最好是受到最低限度的监管。” “对跨境数据流动施加限制可能会导致更高的商业失败率,为初创企业引入障碍,并导致现有市场参与者提供更昂贵的产品。最终,上述授权将影响数字包容性和印度消费者访问真正的全球互联网和服务质量的能力,”该组织曾说。 该提案还试图赋予新德里(联邦政府)以权力,使各邦政府出于国家安全的考虑而豁免该法律。 该草案还提议,公司只能将他们收集的用户数据用于他们最初获得的目的。它还要求公司承担责任,确保他们为用户处理个人数据的确切目的而收集数据。 它还要求企业在默认情况下不要永久存储数据。该部的一份说明说:”存储应限于收集个人数据的既定目的所需的时间。” 该草案建议,如果公司未能提供”合理的安全保障措施以防止个人数据泄露”,最高可罚款等值3060万美元的当地货币。如果公司未能通知当地政府,以及未能披露个人数据泄露的用户,还将被罚款2450万美元。 印度政府自称早期提出的规则有助于保护公民的个人数据,根据其性质将其分为不同的部分,如敏感或关键。然而,根据该草案,新版本并没有对数据进行这样的隔离。 与欧洲的GDPR和美国的CCPA(加州消费者隐私法)类似,印度拟议的《2022年数字个人数据保护法案》将适用于在该国经营的企业和处理印度公民数据的任何实体。 公共政策专家对政府将该提案从以前的版本缩减到30条的举动表示赞赏–从90多条到30条。然而,他们认为,削减其文本会带来一些模糊性。 数字政策倡导者、总部位于新德里的科技政策智囊团The Dialogue的创始董事卡齐姆-里兹维(Kazim Rizvi)表示,删除与在各监管机构之间达成谅解备忘录以建立监管间协调有关的条款,以及省略测试创新的沙盒机制是有些令人担忧的。 “鉴于该法案将在不一致的情况下优先于其他现有的和拟议的法律,在印度的监管格局中,这种管辖权的先例说起来容易,实施起来难。因此,有必要采取更有条理的方法来协调现有的和拟议的相关法律,比如一个交叉参考系统,部门或特定领域的监管机构可以与《数字保护法》合作制定法规,”他说。 预计在接受公众咨询后,拟议的规则将在议会中讨论,不会对该国十多年前起草的有争议的特定法律带来任何变化。不过,新德里正在努力更新其二十年前的信息技术法,该法将作为《数字印度法》首次亮相。印度信息技术部部长Rajeev Chandrasekhar在最近的一次采访中透露将隔离中介机构,并作为终局。 今年8月,印度政府撤回了早先的《个人数据保护法案》,该法案是在人们的期待和司法压力下于2019年公布的。当时,印度IT部长Ashwini Vaishnaw说,考虑撤回是为了”提出一个符合综合法律框架的新法案”。Meta、Google和亚马逊等公司曾对议会联合委员会关于拟议法案的一些建议表示担忧。 带来数据保护法的举动是在2017年印度最高法院宣布隐私是一项基本权利。然而,由于其授予政府机构访问公民数据的权力的内在性质,该国先前的数据保护法案面临强烈的批评。 在本周早些时候在巴厘岛举行的20国集团峰会期间的一次会议上,总理纳伦德拉-莫迪谈到了”数据促进发展”的原则,并表示该国将与20国集团伙伴合作,在明年担任19个国家的政府间论坛主席期间,将”数字转型引入每个人的生活”。 转自 cnBeta,原文链接:https://www.toutiao.com/article/7167649215261180456/?log_from=4340accc3e02e_1669001529978 封面来源于网络,如有侵权请联系删除

印度地铁智能卡被发现”免费充值”漏洞 黑客轻松零元充

印度的大众快速交通系统依赖通勤智能卡,而这些智能卡容易被利用,并允许任何人有效地免费旅行。安全研究员Nikhil Kumar Singh发现了一个影响德里地铁智能卡系统的漏洞。该研究人员表示,该漏洞利用了充值过程,允许任何人为地铁列车的智能卡充值,金额与次数不限。 Singh表示,他是在无意中使用德里地铁站的一个储值机为自己的地铁智能卡免费充值后发现这个漏洞的。 Singh说,这个错误的存在,是因为当旅客使用地铁站的储值机给他们的地铁智能卡充值时,地铁充值系统没有正确地验证付款。他说,缺乏检查意味着,即使储值机显示购买失败,智能卡也会被欺骗,以为它已经充值。在这种情况下,付款被标记为待定,随后被退回,使该人能够有效地免费乘坐地铁。 “我在德里地铁的系统上试了一下,能够获得免费的充值额度,”Singh表示。”我仍然需要通过使用PhonePe或Paytm支付来启动充值,但由于充值仍未完成,30天后会被退回。这就是为什么在技术上是免费的,”他说。 Singh分享了他在2月份录制的概念验证视频,展示了智能卡如何被骗到德里地铁卡上增值。在更好地了解该漏洞后,该研究人员在一天后联系了德里地铁公司(DMRC)。作为回应,DMRC要求Singh通过电子邮件分享该漏洞的细节,他这样做了,同时还提供了一份技术报告和演示该漏洞运行的日志文件。3月16日,Singh收到了一份模板式的回复,承认收到了他的邮件,但没有收到任何进一步的回复。 这个尚未修复的问题存在于智能卡本身。德里地铁依靠的是荷兰芯片制造商恩智浦半导体公司(NXP)生产的MiFare DESFire EV1智能卡。印度除了首都以外的其他地铁系统,包括班加罗尔,也使用同样的智能卡系统。如果其他州的地铁列车的技术基础设施是一样的,那么这个错误在那里也会起作用。 这不是安全研究人员第一次发现同一品牌的智能卡的问题。过去的研究发现类似的漏洞影响了德里地铁使用的相同的DESFire EV1智能卡,以及其他欧洲大众交通系统。2020年,MiFare推出了DESFire EV3作为其非接触式解决方案,具有更好的安全性。 Singh建议,如果地铁系统迁移到DESFire EV3卡,智能卡的错误可以得到修复。 DMRC的三位发言人没有回答多封寻求评论的电子邮件,恩智浦的发言人表示暂时无法提供评论。负责该市地铁服务的班加罗尔地铁公司也没有发表评论。 转自 cnBeta,原文链接:https://www.toutiao.com/article/7161624205958578722/?log_from=39f4d88fc74f_1667544181155&wid=1667544282360 封面来源于网络,如有侵权请联系删除

印度塔塔电力公司遭网络攻击,部分 IT 系统受影响

在周五发布的一份简短声明中,印度头部电力企业 Tata Power 证实其遭遇了网络攻击,并对其部分 IT 系统造成了影响。由提交给当地证券交易监管机构的 PDF 文档可知,该公司已采取措施来检索并恢复系统、所有关键操作系统都在运作。不过为了防患于未然,Tata Power 还是对员工、客户门户和接触点实施了限制访问和预防性检查。 在被问到网路攻击事件的性质、对组织的影响、以及是否有任何数据被盗等细节时,该公司未予置评。 Tata Power 公关代表回应称:“如声明所述,公司已采取措施来检索并恢复系统,所有关键的操作系统仍在运行中”。 【背景资料】 作为南亚地区的发电、输送与电力零售商,Tata Power 计划五年内,把清洁能源的投资占比从当前的 1/3 左右、翻番至 60%,以实现 2045 年的净零排放目标。该公司声称其安装和管理的发电量有 13974 兆瓦,目前为印度市场的龙头。 此外最近 Tata Power 还表现出了对通过光伏屋顶、微电网、储能方案、太阳能泵、电动汽车充电基础设施、以及家庭自动化等业务的浓厚兴趣。该公司通过其分销渠道,为超过 1200 万消费者提供着服务。 转自 安全内参,原文链接:https://www.secrss.com/articles/47971 封面来源于网络,如有侵权请联系删除

印度启动 5G 网络引发网络诈骗,孟买警方发出警告

在印度总理纳伦德拉·莫迪(Narendra Modi)于 10 月 1 日宣布在印度启动 5G 服务之后,5G 网络正分阶段在印度缓慢推出。在带来更快的网络体验同时,在印度也出现了各种诈骗活动。孟买警方发布最新警告:欺诈者以提供 5G 升级指南为由进行欺骗。 孟买警方表示新一波骗子号称可以为用户升级到 5G 网络,实际上是为了欺骗用户。这条推文警告人们不要成为此类骗局的牺牲品,也不要分享他们的个人或银行信息或点击任何未知链接。 在推文中分享的一张图片中,孟买警方表示,诈骗者假装是老牌电话服务公司的高管,并声称帮助您从 4G 升级到 5G。孟买警方还表示,诈骗者可以通过未知链接向人们施加压力,要求他们分享个人和银行信息 孟买警方表示目前在印度几个州已经出现了数起诈骗案件,印度的几个网络安全部门已经警告用户提防此类骗局。推文中写道:“网络欺诈者正在以 5G 的名义发送链接。如果您打开该链接,则存在黑客入侵手机的风险。如果你不警觉,你就会有危险。通过发送从 4G 升级到 5G SIM 的链接来清空帐户。这些链接是用各自电信公司的名称发送的”。 转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1326687.htm 封面来源于网络,如有侵权请联系删除

印度一医疗公司毫无责任心:新冠抗原检测数据公网暴露无人处理

暴露数据为COVID抗原检测结果,受害者人数超过170万,涉及印度、美国、加拿大等多国公民; 具体数据包括姓名、详细地址、电话、Aadhaar医保编号、护照编号、基础疾病情况等敏感个人信息; 研究员将暴露情况告知该公司,但一周后该公司既未回复也未处理,相关数据库仍可访问,体现了极不负责任的态度。 安全内参9月26日消息,印度一家医疗软件提供商的Elasticsearch服务器被发现暴露在互联网上,其中存储了过去几年来往返于印度各地的众多印度及外国人的COVID抗原检测结果。 值得注意的是,这些测试结果来自Covi-Catch快速抗原试剂盒。Covi-Catch是印度医学研究委员会(ICMR)批准上市的COVID-19自我检测试剂盒。 知名独立安全研究员Anurag Sen发现了此次事件。糟糕的是,目前该服务器仍然保持公开,无需任何安全身份验证或密码即可直接访问。据悉,该服务器的最初暴露时间是2022年7月2日。 Anurag当时正在搜索网站Shodan上检索错误配置的数据库,并注意到有一台公开暴露的服务器,正向公众敞开23 GB数据。Anurag表示,该服务器属于一家位于印度哈里亚纳邦古尔冈的企业,但由于目前暴露问题仍未解决,所以本文暂不公开其具体名称。 暴露了哪些数据? Anurag对服务器的分析结果显示,暴露的记录实际是COVID抗原检测结果,而且事件受害者人数超过170万。其中不仅包括个人记录,还有往来人士的医疗记录,具体涉及: 性别 全名 国籍 出生日期 完整地址 电话号码 投票ID编号 COVID测试结果 Aadhaar医保编号 护照编号 基础疾病情况 疫苗详细情况(疫苗类型、是否接种) 还有更多…… 截图显示,暴露的记录涉及美国、加拿大和印度公民 该公司未做任何回应处理 Anurag已经通过网站上的电子邮件地址联系了相关公司,但一个多星期过去,对方未做任何回应。截至目前,该服务器仍持续暴露在外。 将用户敏感数据暴露给网络犯罪分子当然离谱,毫不理会研究人员提醒、坐视混乱事态则进一步凸显出该公司不负责任的态度。 事件将造成哪些影响? 目前还不清楚是否有恶意第三方已经访问到该数据库,例如勒索软件团伙或其他恶意黑客。如果已经访问,受害者及作为该服务器所有方的医疗保健公司将面临毁灭性的威胁。 此外,考虑到暴露数据的范围和性质,此次事件还可能产生深远影响。例如不法分子可能会下载数据,借以实施网络钓鱼欺诈或其他涉及身份盗窃的诈骗活动。 如果要求未能得到满足,恶意黑客可以操控该服务器或数据以索取赎金,并将信息泄露至网络犯罪论坛。一旦事态恶化到这一步,将个人信息放心交给印度当局的出行人士将沦为受害者。 转自 安全内参,原文链接:https://www.secrss.com/articles/47384 封面来源于网络,如有侵权请联系删除

印度央行催促借贷应用程序为消费者提供更大的透明度和控制权

印度储备银行公布了它打算对数字贷款公司实施的指导方针,建议给客户更多的透明度和控制权,因为这个南亚国家的中央银行正在采取进一步措施,打击粗制滥造的做法和债权人。 周三发布的指导方针规定了谁可以向印度的借款人贷款,他们可以从借款人那里收集哪些数据,并授权扩大披露要求,此举可能会使世界第二大互联网市场的许多金融科技初创企业感到不安。 贷款人将不被允许在未获得客户同意的情况下增加客户的信用额度,并被要求以明确的条款披露年度贷款利率。数字贷款应用程序也将被要求在收集任何数据之前事先征得客户的明确同意。 根据指导方针,在任何情况下,数字贷款公司应停止访问手机资源,如文件和媒体、联系人名单、通话记录、电话功能等。只有在借款人明确同意的情况下,才可以对摄像头、麦克风、位置或任何其他必要的设施进行一次性访问。 近年来,在印度出现了许多草率的借贷应用程序和非银行金融机构向客户收取高额费用的情况下,这些指导方针在去年首次提出,其中一些已获得原则性批准。简略做法的盛行促使Google去年从印度的Play Store中撤出了一些个人贷款应用程序,并实施了更有力的措施来防止滥用。 转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1302983.htm 封面来源于网络,如有侵权请联系删除

印度政府宣布撤回本国数据保护法案

在经历了来自科技行业和隐私倡导者长期的抗议和批评之后,8月3日,印度电子和信息技术国务部长Rajeev Chandrasekhar宣布,于2019年颁布的《数据保护法案》已正式撤回。 Chandrasekhar表示,这部法案的一些规定超出了数据保护范围,一些复杂性措施也增加了中小企业的合规负担,比如对跨境数据流动进行严格监管、强制要求共享部分“非个人”数据等。 据悉,印度是受数据泄露影响最严重的国家之一,而且该国的网络犯罪也有显著增加。为了扭转这一局面,莫迪政府一直在寻求强有力的法案支撑。但此次撤回的《数据保护法案》在实施时,就造成莫迪政府与大型科技公司之间的关系变得紧张,科技公司反对法案中的一些条款,包括将施加甚至严格的数据本地化要求、对跨境数据流动进行严格限制等。 隐私倡导者也批评该提案赋予了政府机构向公司索取用户数据的权力,Access Now的亚太区政策顾问Namrata Maheshwari表示,印度未能通过一个联邦隐私和数据保护框架,体现了政府本末倒置的做法——授权增加收集和利用个人数据,而不首先确保人们的信息将是安全和可靠的。 此次法案的撤回被不少人认为是科技公司的胜利,安库拉咨询集团的高级董事总经理Amit Jaju表示,这是一个值得欢迎的消息,因为现有的草案变得不切实际,不符合全球基准。但同时,2022年的印度公司已经成为大规模数据泄露的受害者,在没有数据保护法的情况下,个人数据将几乎得不到任何保护。 至于接下来的措施,莫迪政府表示接下来会推出一个包括隐私在内的科技监管 “综合框架”,有望在2023年初获得批准。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/341137.html 封面来源于网络,如有侵权请联系删除