Hackernews 编译，转载请注明出处： 上周五，印度总统德鲁帕迪·穆穆批准了《数字个人数据保护法案》(DPDPB)，该法案上周在议会两院一致通过，标志着印度在保护个人信息方面迈出了重要一步。 印度政府表示:“该法案规定了数字个人数据的处理方式，既承认个人保护其个人数据的权利，也承认为合法目的以及与之相关或附带的事项处理此类个人数据的必要性。” 该立法框架适用于印度境内外在线上和离线(以及随后的数字化)收集的个人数据，要求“在个人同意的情况下，仅为合法目的”处理信息。 征求用户明确同意的要求应附有或在此之前附有通知，告知建议处理个人资料的目的。“个人资料”是指“有关个人的任何资料，而该等资料可识别该等资料或与该等资料有关。” 然而，在“某些合法用途”下，平台可以处理自愿提供的个人用户数据。例如，选择通过电子邮件发送账单，则不需要征得同意。它还放弃了对某些数据受托人(如初创公司)的合规要求。 此外，如果要处理18岁以下儿童或有合法监护人的残疾人的个人信息，就必须得到其父母或监护人的明确同意。 政府指出:“该法案不允许对儿童的健康有害的处理，也不允许涉及对儿童的跟踪、行为监控或定向广告。” 《数据保护法案》规定建立了一个数据保护委员会(DPB)，由政府任命的成员组成，负责审查投诉，调查数据泄露，并根据事件的严重性、持续时间和“重复性”征收罚款。 滥用或未能保护个人数字数据，以及未能通知DPB的黑客行为，将面临高达25亿卢比(3010万美元)的罚款。委员会的决定可以在60天内上诉到电信纠纷解决和上诉法庭进行审查。 与之前的法案草案相比，现在处理个人数据的公司可以将数据转移到任何其他国家进行处理，除非中央政府明确禁止此类转移。以前，跨境数据传输只允许在一组特定的国家进行。 尽管DPB缺乏自主权，但大部分焦点都集中在对豁免可能导致数据收集，处理和保留超出必要范围的担忧上，从而可能促进大规模监视和政府主导的隐私侵犯。 另一个同样令人担忧的问题是，为了公众的利益，政府有能力限制“在任何计算机资源中产生、传输、接收、存储或托管的任何信息”的访问，导致“对不同意见的无限制审查”。 互联网自由基金会(Internet Freedom Foundation)在一份声明中表示:“以目前的形式，DPDPB, 2023，没有充分保障隐私权，不能颁布。它未能解决许多数据保护问题，而是建立了一个促进国家和私人行为者数据处理活动的制度。”     消息来源：thehackernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

ICICI银行是一家价值超过760亿美元的印度跨国企业，在印度各地有5000多个分支机构，并在全球至少15个国家设有分支机构。 2022年，ICICI银行的资产被印度政府命名为 “关键信息基础设施”对它的任何伤害都会影响国家安全。然而，尽管银行基础设施在国家层面处于关键地位，但关键数据的安全并没有得到保证。 在最近的调查中，Cybernews研究小组发现，由于银行的系统配置错误，导致敏感数据的泄露。 如果攻击者访问了暴露的数据，该公司可能会面临毁灭性的后果，其客户也将处于危险之中，因为金融服务是网络犯罪分子的主要目标。 泄露的个人数据 2月1日，Cybernews研究团队发现了一个配置错误且可公开访问的云存储 Digital Ocean桶，里面有超过360万个属于ICICI银行的文件。文件暴露了该银行及其客户的敏感数据。 在被泄露的客户数据中，有银行账户信息、信用卡号码、全名、出生日期、家庭住址、电话号码和电子邮件。 桶内还存储了客户护照、身份证和印度纳税人识别号的文件。银行报表和客户（KYC）表格也被泄露。不仅如此，这次泄漏也影响了银行的员工，因为在存储桶中发现了现任员工和求职者的简历。 公司的回应 Cybernews与银行和印度计算机应急小组（CERT-IN）都取得了联系，据了解目前问题得到了解决。3月30日，属于ICICI银行的数字海洋桶的访问被限制。 对于本次事件的详情及后续处理结果，目前还没有得到印度银行方面的官方回应。 对金融账户的威胁 金融和保险业是网络犯罪分子最关注的行业之一。 去年，在所有网络攻击中的总份额为18%，是继制造业之后的第二大目标行业。其主要原因是因为，金融公司拥有敏感和有价值的数据以及金融资产的宝库，因此它们也成为了有吸引力的目标。 据Cybernews研究人员表示，”被发现的ICICI泄密事件的影响估计会很严重，因为个人数据泄露的数量很大”。”这种敏感信息可能会破坏ICICI银行的声誉，并可能揭露银行内部流程的细节，其客户和员工也会有潜在威胁。 据研究人员称，攻击者可以利用泄露的数据进行身份盗窃和欺诈。例如，网络犯罪分子可以在个人不知情的情况下使用被盗的凭证和个人数据以个人名义开立账户；数据被暴露的员工、企业和个人可能面临鱼叉式网络钓鱼活动的风险等。 网络新闻团队补充说：”另一个风险是数据在暗网上被出售，ICICI银行有可能成为勒索软件攻击的受害者“。 让客户了解情况 为了防止这种数据泄漏，研究人员建议始终确保云存储桶的安全。ICICI银行应该通过通知客户数据泄漏来减轻风险和进一步的损失。 ICICI银行还应该为客户提供关于识别和避免欺诈性电子邮件、网站和电话的指导，并敦促他们立即向银行报告任何可疑活动。同时，要求被泄露的人应该立即改变他们的登录信息，并创建更复杂的密码。     转自 Freebuf，原文链接：https://www.freebuf.com/articles/364211.html 封面来源于网络，如有侵权请联系删除

近日，印度修订了 IT 法，禁止 Facebook、Twitter 和其他社交媒体公司发布、托管或分享有关政府“任何业务”的虚假或误导性信息，并表示这些公司将被要求依赖新德里自己的事实——检查单位以确定任何声明的真实性打击了许多美国巨头，这些巨头将南亚市场确定为他们最大的用户。 不遵守该规则也会影响 Jio 和 Airtel 等互联网服务提供商，公司可能会失去安全港保护。总部位于新德里的数字权利组织互联网自由基金会表示，该规则于今年 1 月首次提出，赋予政府一个部门任意和过于广泛的权力来确定在线内容的真实性，并绕过了自然正义的原则。 “这些修订规则的通知巩固了对言论和表达的基本权利的寒蝉效应，特别是对新闻出版商、记者、活动家等。事实核查单位可以有效地向社交媒体平台甚至其他中介机构发出删除令互联网堆栈，可能会绕过 2000 年 IT 法案第 69A 条规定的法定程序。”互联网自由基金会补充道。 电子和 IT 部声称，现有的 IT 规则已经要求中介机构“做出合理努力，不托管、发布或共享任何明显虚假、不真实或具有误导性的信息”。 印度是 Facebook、Twitter 和谷歌的重要海外市场。Facebook 和谷歌在过去十年中已在印度投入超过 150 亿美元，因为它们竞相赢得最后一个巨大的增长市场。他们的服务现在覆盖了印度超过 50 亿用户。此外，这些公司此前曾否决过新德里的几项提议。 新修正案还通过修改其 2021 年 IT 规则来打击提供博彩服务的在线游戏，该规则将要求自我监管机构禁止提供博彩的应用程序。 印度电子和信息技术国务部长Rajeev Chandrasekhar 在新闻发布会上表示，在线赌博和博彩平台对新德里开放和安全互联网的愿景提出了挑战。“在过去的几个月里，我们看到许多初创公司违反了州法律、州法规和州法规。我们希望这些规则将为所有对在线游戏生态系统感兴趣的初创公司创建一个更加稳定、一致和可预测的框架。” 电子和 IT 部已责成代表数十亿美元机会的游戏行业组建自我监管机构，并在新修正案中表示，这些机构将决定该国允许哪些游戏。 他说：“这些规则并未涉及概率游戏和技能游戏的所有细微差别和复杂性。我们通过制定一个基本原则来绕过这一点，即在线游戏侵入涉及博彩和投注的那一刻，无论其核心内容如何，都会违反这些规则。” Chandrasekhar 表示，许多在线平台伪装成游戏提供博彩服务，在某些情况下还参与了洗钱等犯罪活动。 该部进一步表示，在线游戏公司将被要求在允许用户花钱之前进行“了解你的客户”验证。此外，不允许在线游戏直接或通过第三方向其用户提供信贷融资选项。 绝大多数博彩游戏都专注于 IPL，这是一项为期两个月的 T20 板球锦标赛。据咨询公司 Redseer 估计，梦幻体育的收入今年将增长 35%，超过 3.75 亿美元。梦幻体育初创公司坚称，他们的产品测试客户的技能，这与赌博不同。 “幻想体育游戏的急剧增长将来自二线城市，这是由幻想平台的日益普及和其他游戏的用户交叉迁移所推动的。互联网可访问性的提高将推动 IPL 经济。我们的估计表明，每位用户的平均收入预计将从 2022 年 IPL 的 410 印度卢比（5 美元）增长到 2023 年 IPL 的每位用户 440 印度卢比（5.37 美元）。”该公司表示。     转自 Freebuf，原文链接：https://mp.weixin.qq.com/s/Nrfz4V7mLjLy4bMPL2Vr9g 封面来源于网络，如有侵权请联系删除

一位数据泄露论坛的用户声称，可以访问一个包含超9亿条印度法律记录和文件的数据库，其中包括印度警方记录、报告、法庭案件，以及被告与被捕人员的详细信息。 该用户正在兜售这批数据，据称数据内容为JSON格式，附有指向原始PDF文件的链接。文件总大小约为600 GB，泄露数据的庞大规模可见一斑。 不过，这些数据的来源尚未确定，这也引发了人们对于数据合法性和泄露原因的担忧。 此外，出售此类敏感信息可能造成严重后果，包括个人信息滥用、胁迫、剥削甚至是设施等等。 9亿条印度警方记录和案件数据疑似被出售 图：暗网上出售的印度警方记录 据暗网上的卖家Tailmon介绍，这批失窃数据包含印度法律文件、印度警方记录（含指控文件）、法庭案件文件以及其他文件和文件夹。 Tailmon在3月13日发布的帖子中表示，“我所出售的是超过9亿份（600 GB）印度法律文件记录/文档、被捕/被控人以及警方/法庭报告……经OCR处理转为JSON格式，随附有原始PDF文件链接。” 近年来，多起数据泄露和网络攻击事件凸显出数据安全和隐私的重要性。失窃数据被公开出售，也进一步强调了采取严格措施保护敏感信息的必要性。 印度政府应采取措施应对 印度政府必须立即开展调查，采取必要措施以防止此类敏感信息的公开出售。 当局还应执行更严格的法规，确保处理个人信息的企业和个人遵守数据保护法。 此外，这次事件也提醒个人和组织应采取适当措施保护其数据，包括投资建设安全网络、对员工进行数据安全最佳实践培训，并定期更新安全协议以抵御潜在威胁。 总之，包含印度公民敏感法律文件的数据库被公开兜售令人担忧，防止个人信息滥用已经刻不容缓。 这起事件给印度政府、企业及个人敲响了警钟。数据安全和隐私保护应得到高度重视，并采取必要措施防范数据泄露和网络攻击。     转自 安全内参，原文链接：https://www.secrss.com/articles/52784 封面来源于网络，如有侵权请联系删除  

RailYatri 黑客攻击发生在 2022 年 12 月，但被盗数据直到近日才在一个著名的黑客论坛上泄露。 在个人信息中，RailYatri 黑客攻击还暴露了印度数百万旅客的详细位置信息。 印度流行的火车票预订平台RailYatri遭遇大规模数据泄露，暴露了超过 3100 万 (31,062,673) 名用户/旅客的个人信息。据信，该漏洞发生在 2022 年 12 月下旬，敏感信息数据库现已在线泄露。 泄露的数据包括电子邮件地址、全名、性别、电话号码和位置，这可能使数百万用户面临身份盗用、网络钓鱼攻击和其他网络犯罪的风险。 目前可以确认该数据库已在 Breachforums 上泄露，Breachforums 是一个黑客和网络犯罪论坛，作为流行且 现已占领的 Raidforums 的替代品出现。   #RailYatri 及其数据泄露 Yatra# RailYatri 的意思是火车乘客，而 Yatra 代表旅程。RailYatri 数据泄露事件并非黑客利用漏洞窃取和泄露数据的典型案例。事实上，它始于2020 年 2 月，当时网络安全研究员 Anurag Sen 发现了一个配置错误的 Elasticsearch 服务器暴露在公众面前，没有任何密码或安全身份验证。 Sen 指出该服务器属于 RailYatri，并将此问题告知了该公司，该公司最初否认它属于他们。后来，该公司声称这只是测试数据。当时，服务器包含超过 700,000 条日志，总计超过 3700 万条条目，包括内部生产日志。 2020 年，只有在印度计算机应急响应小组 (CERT-In) 介入后，Railyatri 才设法保护其数据；然而，两年后，即 2023 年 2 月 16 日，由于新的漏洞，黑客再次让公司陷入安全漏洞。 “早在 2020 年，当我联系 Railyatri 时，他们从未回复或联系过我，但在我联系 Cert-In 后，服务器关闭了，”Anurag 告诉 Hackread.com。“我报告了印度的各种数据泄露事件；我看到的最常见的问题是，由于印度没有任何类似 GDPR 的法律，这些公司没有被罚款。”Anurag 补充说到。 Anurag认为：“如果公司从一开始就实施适当的网络安全措施，本可以避免最新的数据泄露事件。” 建议所有用户更改密码并在其帐户上启用双因素身份验证作为预防措施，同时建议用户监控他们的银行账户和信用卡报表，以发现任何可疑活动。 这一漏洞清楚地提醒人们网络攻击的频率和严重程度不断增加，尤其是在COVID-19 大流行之后，这迫使数百万人依赖在线平台来满足他们的日常需求。它强调了公司需要优先考虑网络安全措施并采取一切必要措施来保护客户的个人信息。     转自 E安全，原文链接：https://mp.weixin.qq.com/s/bv-8wkbYWhVQyttz337_aQ 封面来源于网络，如有侵权请联系删除  

Cybernews 研究团队12月12日报告称，印度外交部专门负责对外联络海外印度侨民的平台Global Pravasi Rishta Portal 泄露了敏感数据，包括用户个人姓名和护照详细信息。 最初，Cybernews 研究团队收到警告，称 Global Pravasi Rishta Portal 正在泄露敏感的用户数据，经过核实，发现该平台以明文形式公开了个人姓名、居住国家和电子邮件地址，以及职业状况、电话和护照号码。泄露原因可能是由于安全措施不力，例如缺乏有效的身份验证。 事后，Cybernews 团队已联系外交部，告知其泄露情况事件，但没有收到回复。几天后，该安全问题得到了解决。 Global Pravasi Rishta Portal 隶属印度外交部，是一个旨在对外联络印度使团和3000 万印度侨民的平台。虽然不清楚所泄露护照的人员构成，但Rishta Portal 英语中的意思是“外籍人士关系”。 近年来，护照信息泄露事件时有发生。2020 年，万豪国际披露了一起数据泄露事件，泄露了超过 500 万酒店客人的详细信息，包括他们的护照号码；2018 年，加拿大航空公司的移动应用程序遭到破坏，2万 名客户的护照号码被泄露。 根据 Cybernews 研究团队的说法，护照信息泄露会大大增加用户自身安全风险，比如攻击者可能会完全盗用这些信息。研究人员表示，护照的详细信息可能被用于某种类型的欺诈，呼吁用户应该密切关注他们的信用档案和历史记录，并确保使用具有强密码的多重身份验证。   转自 Freebuf，原文链接：https://www.freebuf.com/news/352311.html 封面来源于网络，如有侵权请联系删除

安全内参11月28日消息，印度主要公共医疗机构之一，全印度医学科学研究所（AIIMS）遭遇网络攻击，出现业务中断。 此次中断影响到数百位使用基础医疗保健服务的患者和医生，波及患者入院、出院和计费等系统。 AIIMS成立于1956年，拥有数千位医学本科生和研究生。该机构同时也是印度最大的国有医院之一，可容纳2200多张病床。 医院方面表示，上周三（11月23日）发生的网络攻击似乎是一起勒索软件攻击，因为黑客修改了受感染文件的扩展名。 AIIMS管理人员接受采访时表示，自上周三上午开始，其患者护理服务受到了严重影响。 由于负责记录患者数据的服务器停止工作，该机构只能转向手动操作，包括手写病患记录。中断还导致排队周期延长，应急处置工作也开始出现失误。 在经历最初几个小时的中断之后，医院方面发布一份声明，确认了网络攻击的存在。中断一直持续到次日。 一位住院医生在采访中表示，“有很多采血样本无法发送，没法进行影像学研究，也看不到之前的报告和图像。大量操作只能以手动方式完成，但这样既耗时也更容易出错。” 到上周四晚些时候，医院方面指示医生继续手写记录，包括在系统中断期间手写出生和死亡证明。 据mint报道，直到上周六，医院服务器依然受影响，相关工作继续以人工方式进行。 印度国家信息中心的一支团队正与印度计算机应急响应小组密切合作，帮助AIIMS尽快恢复系统。据一位直接了解事件的人士称，目前正努力从备份中恢复数据。 与此同时，包括中央调查局和德里警局情报整合与战略行动部在内的多个执法机构，也在着手调查这起事件的幕后黑手。警方已经就此事提出正式控告。 目前还不清楚，恶意黑客能否访问到患者的细节数据。 转自 安全内参，原文链接：https://www.secrss.com/articles/49466 封面来源于网络，如有侵权请联系删除

安全内参11月22日消息，总部位于孟买的印度领先中央证券存管机构Central Depository Services Limited（CDSL）表示，其系统已遭恶意软件入侵。 上周五（11月18日），该证券存管机构向印度国家证券交易所提交一份文件，称其检测到“一些内部设备”已遭恶意软件影响。 文件指出，“出于谨慎考量，我公司立即隔离了这些设备，并脱离资产交易市场以避免影响其他部分。” CDSL表示将继续开展调查，但截至目前，“尚无迹象表明有任何机密信息或投资者数据因此事件而遭泄露。” CDSL并未透露该恶意软件的具体细节。截至本文撰稿时，该公司网站已经关闭，且CDSL拒绝解释网站关停是否与攻击事件有关。 CDSL发言人Banali Banerjee表示暂时无法回答其他问题，包括公司是否保存有能确定哪些数据被泄露（如果确有泄露）的日志记录。发言人只表示，“我们正在努力解决问题。” 中央证券存管机构为印度证券业运转关键机构 CDSL号称维护并服务于全国各投资者的近7500万个交易员账户（在印度被称为demat账户），该公司的重要股东包括孟买证券交易所、渣打银行和印度Life Insurance Corporation（LIC）人寿保险公司。 CDSL成立于1999年，是印度唯一一家公开上市的同类公司，也是仅次于印度最早证券存管机构National Depository Services Limited（NDSL）的第二大存管机构。CDSL允许用户以电子形式持有证券及相关交易，并协助证券交易所进行贸易结算。 印度证券交易委员会要求，所有想交易印度证券的人都必须拥有Demat账户。而只有国家证券存托有限公司和中央存托服务有限公司这两个机构才能批准Demat账户开设。 CDSL公司在提交的文件中表示，“CDSL团队已经向有关当局上报了此次事件，目前正与政府网络安全顾问合作，共同分析事件影响。” 转自 安全内参，原文链接：https://www.secrss.com/articles/49261 封面来源于网络，如有侵权请联系删除

之前印度提出了一项新的全面数据隐私法，该法将规定公司如何处理其公民的数据，包括允许与某些国家进行信息的跨境转移，三个月后，印度在隐私倡导者和科技巨头的审查和关注下突然撤回了之前的提案。该国信息技术部于周五公布了一份名为《2022年数字个人数据保护法案》的拟议规则草案，供公众咨询。它将在12月17日前听取公众的意见。 草案说：”本法案的目的是规定数字个人数据的处理方式，既要承认个人保护其个人数据的权利，又要承认为合法目的处理个人数据的必要性，以及与此相关或附带的事项。” 该草案允许与”某些被通知的国家和地区”进行数据的跨境互动，此举被视为科技公司的胜利。 草案说：”中央政府在对其认为必要的因素进行评估后，可以通知印度以外的国家或地区，数据受托人可以按照规定的条款和条件将个人数据转移到这些国家或地区”，但没有指明具体国家。 代表Meta、Google、亚马逊和其他许多科技公司的游说团体的亚洲互联网联盟曾要求新德里允许数据跨境转移。他们在今年早些时候给信息技术部的一封信中写道：”跨境转移的决定应该不受行政或政治干预，最好是受到最低限度的监管。” “对跨境数据流动施加限制可能会导致更高的商业失败率，为初创企业引入障碍，并导致现有市场参与者提供更昂贵的产品。最终，上述授权将影响数字包容性和印度消费者访问真正的全球互联网和服务质量的能力，”该组织曾说。 该提案还试图赋予新德里（联邦政府）以权力，使各邦政府出于国家安全的考虑而豁免该法律。 该草案还提议，公司只能将他们收集的用户数据用于他们最初获得的目的。它还要求公司承担责任，确保他们为用户处理个人数据的确切目的而收集数据。 它还要求企业在默认情况下不要永久存储数据。该部的一份说明说：”存储应限于收集个人数据的既定目的所需的时间。” 该草案建议，如果公司未能提供”合理的安全保障措施以防止个人数据泄露”，最高可罚款等值3060万美元的当地货币。如果公司未能通知当地政府，以及未能披露个人数据泄露的用户，还将被罚款2450万美元。 印度政府自称早期提出的规则有助于保护公民的个人数据，根据其性质将其分为不同的部分，如敏感或关键。然而，根据该草案，新版本并没有对数据进行这样的隔离。 与欧洲的GDPR和美国的CCPA（加州消费者隐私法）类似，印度拟议的《2022年数字个人数据保护法案》将适用于在该国经营的企业和处理印度公民数据的任何实体。 公共政策专家对政府将该提案从以前的版本缩减到30条的举动表示赞赏–从90多条到30条。然而，他们认为，削减其文本会带来一些模糊性。 数字政策倡导者、总部位于新德里的科技政策智囊团The Dialogue的创始董事卡齐姆-里兹维（Kazim Rizvi）表示，删除与在各监管机构之间达成谅解备忘录以建立监管间协调有关的条款，以及省略测试创新的沙盒机制是有些令人担忧的。 “鉴于该法案将在不一致的情况下优先于其他现有的和拟议的法律，在印度的监管格局中，这种管辖权的先例说起来容易，实施起来难。因此，有必要采取更有条理的方法来协调现有的和拟议的相关法律，比如一个交叉参考系统，部门或特定领域的监管机构可以与《数字保护法》合作制定法规，”他说。 预计在接受公众咨询后，拟议的规则将在议会中讨论，不会对该国十多年前起草的有争议的特定法律带来任何变化。不过，新德里正在努力更新其二十年前的信息技术法，该法将作为《数字印度法》首次亮相。印度信息技术部部长Rajeev Chandrasekhar在最近的一次采访中透露将隔离中介机构，并作为终局。 今年8月，印度政府撤回了早先的《个人数据保护法案》，该法案是在人们的期待和司法压力下于2019年公布的。当时，印度IT部长Ashwini Vaishnaw说，考虑撤回是为了”提出一个符合综合法律框架的新法案”。Meta、Google和亚马逊等公司曾对议会联合委员会关于拟议法案的一些建议表示担忧。 带来数据保护法的举动是在2017年印度最高法院宣布隐私是一项基本权利。然而，由于其授予政府机构访问公民数据的权力的内在性质，该国先前的数据保护法案面临强烈的批评。 在本周早些时候在巴厘岛举行的20国集团峰会期间的一次会议上，总理纳伦德拉-莫迪谈到了”数据促进发展”的原则，并表示该国将与20国集团伙伴合作，在明年担任19个国家的政府间论坛主席期间，将”数字转型引入每个人的生活”。 转自 cnBeta，原文链接：https://www.toutiao.com/article/7167649215261180456/?log_from=4340accc3e02e_1669001529978 封面来源于网络，如有侵权请联系删除

印度的大众快速交通系统依赖通勤智能卡，而这些智能卡容易被利用，并允许任何人有效地免费旅行。安全研究员Nikhil Kumar Singh发现了一个影响德里地铁智能卡系统的漏洞。该研究人员表示，该漏洞利用了充值过程，允许任何人为地铁列车的智能卡充值，金额与次数不限。 Singh表示，他是在无意中使用德里地铁站的一个储值机为自己的地铁智能卡免费充值后发现这个漏洞的。 Singh说，这个错误的存在，是因为当旅客使用地铁站的储值机给他们的地铁智能卡充值时，地铁充值系统没有正确地验证付款。他说，缺乏检查意味着，即使储值机显示购买失败，智能卡也会被欺骗，以为它已经充值。在这种情况下，付款被标记为待定，随后被退回，使该人能够有效地免费乘坐地铁。 “我在德里地铁的系统上试了一下，能够获得免费的充值额度，”Singh表示。”我仍然需要通过使用PhonePe或Paytm支付来启动充值，但由于充值仍未完成，30天后会被退回。这就是为什么在技术上是免费的，”他说。 Singh分享了他在2月份录制的概念验证视频，展示了智能卡如何被骗到德里地铁卡上增值。在更好地了解该漏洞后，该研究人员在一天后联系了德里地铁公司（DMRC）。作为回应，DMRC要求Singh通过电子邮件分享该漏洞的细节，他这样做了，同时还提供了一份技术报告和演示该漏洞运行的日志文件。3月16日，Singh收到了一份模板式的回复，承认收到了他的邮件，但没有收到任何进一步的回复。 这个尚未修复的问题存在于智能卡本身。德里地铁依靠的是荷兰芯片制造商恩智浦半导体公司（NXP）生产的MiFare DESFire EV1智能卡。印度除了首都以外的其他地铁系统，包括班加罗尔，也使用同样的智能卡系统。如果其他州的地铁列车的技术基础设施是一样的，那么这个错误在那里也会起作用。 这不是安全研究人员第一次发现同一品牌的智能卡的问题。过去的研究发现类似的漏洞影响了德里地铁使用的相同的DESFire EV1智能卡，以及其他欧洲大众交通系统。2020年，MiFare推出了DESFire EV3作为其非接触式解决方案，具有更好的安全性。 Singh建议，如果地铁系统迁移到DESFire EV3卡，智能卡的错误可以得到修复。 DMRC的三位发言人没有回答多封寻求评论的电子邮件，恩智浦的发言人表示暂时无法提供评论。负责该市地铁服务的班加罗尔地铁公司也没有发表评论。 转自 cnBeta，原文链接：https://www.toutiao.com/article/7161624205958578722/?log_from=39f4d88fc74f_1667544181155&wid=1667544282360 封面来源于网络，如有侵权请联系删除