DigiLocker corrige una vulnerabilidad en su sistema de registro
DigiLocker, la plataforma oficial del gobierno de la India para la emisión y verificación de documentos y certificados, ha solucionado una vulnerabilidad crítica que hubiera permitido que un atacante remoto omitiese las contraseñas de un solo uso (OTP, one-time passwords) desde un dispositivo móvil e iniciara sesión como otros usuarios.
La vulnerabilidad fue descubierta de manera individual, pero en las mismas fechas, por dos investigadores, Mohesh Mohan y Ashish Gahlot, que la reportaron al CERT-In y a DigiLocker, respectivamente.
En el comunicado oficial publicado, DigiLocker aclara que toda la información de sus usuarios permanece a salvo y segura, y en ningún momento se ha visto comprometida.
Referencias
- 02/06/2020 twitter.com Clarification about Reported Vulnerability on DigiLocker
- 01/06/2020 medium.com How I got access to 38M+ DigiLocker accounts
- 03/06/2020 yetanothersec.com How I managed to gain access to The Indian Digital treasure – 3 Billion documents on Digilocker
- 08/06/2020 thehackernews.com Any Indian DigiLocker Account Could've Been Accessed Without Password
Etiquetas