รัฐบาลอินเดียได้ออกมาเเจ้งเตือนถึงช่องโหว่ที่มีความรุนเเรงระดับ “Critical” ในบริการรักษาความปลอดภัยทางดิจิตอล DigiLocker ซึ่งเป็นบริการออนไลน์ที่ให้บริการโดยกระทรวงอิเล็กทรอนิกส์และไอที (Meity) ภายใต้รัฐบาลของอินเดีย โดยช่องโหว่อาจทำให้ผู้โจมตีจากระยะไกลหลีกเลี่ยงการใช้รหัสผ่านครั้งเดียว (OTP) และสามารถลงชื่อเข้าใช้ในฐานะผู้ใช้รายอื่น

ช่องโหว่ถูกค้นพบโดย Mohesh Mohan และ Ashish Gahlot ซึ่งได้อธิบายว่าผู้ไม่หวังดีสามารถใช้ช่องโหว่เพื่อเข้าถึงเอกสารที่สำคัญโดยไม่ได้รับอนุญาตบนแพลตฟอร์ม DigiLocker ซึ่งช่องโหว่อยู่บนฟังก์ชั่น OTP ที่ไม่ได้ทำการตรวจสอบรายละเอียดของผู้ใช้งาน ทำให้ผู้ไม่หวังดีสามารถเข้าถึงบัญชีผู้ใช้ของผู้อื่นได้

ปัจจุบันมีผู้ลงทะเบียนใช้งาน DigiLocker 38 ล้านคนทั่วประเทศอินเดียโดย DigiLocker นั้นเป็นแพลตฟอร์มที่รัฐบาลใช้เพื่อให้อำนวยความสะดวกด้านเอกสารแก่ประชาชนในอินเดีย โดยแพลตฟอร์มจะเชื่อมโยงกับหมายเลขโทรศัพท์มือถือของผู้ใช้และ Aadhar ID (Aadhar ID คือหมายเลขประจำตัวซึ่งออกโดยรัฐบาลอินเดีย)

หลังจากทำการค้นพบ Mohan ได้รายงานช่องโหว่เเก่ CERT-In เมื่อวันที่ 10 พฤษภาคม และวันที่ 28 พฤษภาคม Ashish หน่วยงานทางด้านไซเบอร์ของอินเดียได้ออกมาเเถลงว่าได้เเก้ไขช่องโหว่นี้แล้ว

ที่มา: thehackernews