印度国有电信运营商内部网站超4.7万员工信息泄露

根据《印度经济时报(The Economic Times,ET)》及多家国外媒体的报道，法国安全研究人Robert Baptiste声称已获得了印度国有电信运营商Bharat Sanchar Nigam Limited(BSNL)内部网络数据库的访问权，该数据库包含超过4.7万名员工的详细信息。

Baptiste通过电子邮件与ET取得了联系并告诉ET，他通过安全漏洞侵入了BSNL的内部网络，并将恶意代码嵌入在了BSNL所使用的软件中，以此获取到了数据库的访问权限。

在上周日早上，Baptiste还与ET分享了一个包含BSNL离职和现任员工姓名、职称、密码、手机号码、出生日期、退休日期、电子邮件地址等详细信息的数据库样本。ET随后从数据库中调取了六名员工的个人信息，并通过电话验证了他们的身份属实。

Baptiste还表示，BSNL所持域名下的多个网站均存在安全漏洞，使得这些网站极其容易遭受SQL注入攻击。事实上，已经有两个BSNL网站遭遇了勒索软件的攻击，但网站受到攻击的确切时间尚不清楚，目前网站已经被迫下线。

而Baptiste还发现，多达八个其他BSNL网站具有开放的目录，允许任何人访问数据库。他已经在上周日下午通过Twitter与BSNL进行了接触，并通知了他们关于这个问题。该公司的IT团队与他进行了讨论，最终确认了问题的严重性。目前，大部分漏洞已经被修复，而一些网站也已经被删除。

“几天前我发现了这个(BSNL)问题，但我并不是第一个发现它的人。”Baptiste在写给ET的电子邮件中说，并表示这个问题最初是由印度安全研究员Sai Krishna Kothapalli在两年前报道的，但在当时并没有得到BSNL的答复。

BSNL尚未就此事发表评论。

由于印度目前缺乏数据保护法律，这种黑客行为受2000年颁布的印度信息技术法案的管辖。根据该法案，无论出于什么目的，或以任何形式侵入计算机系统都将构成刑事犯罪，个人可能因此受到刑事指控。

“我冒了很大风险写信给他们(BSNL)，并认为他们可能会对此作出回应，但最终徒劳无功。”在当时还是一名计算机专业学生的Kothalpalli说，“我在2015年发现了这个问题，当时我正在参与一个漏洞赏金计划。我遇到了BSNL的网站，这些网站很容易受到基本的SQL注入攻击，而该网站拥有超过40GB的核心内部数据库。我很害怕，不知道该做什么。”

Kothalpalli希望并鼓励有更多的印度安全研究人员能够在安全漏洞被用于实际攻击之前对它们进行披露，并表示他已经向印度数据保护委员会提交了意见，以免安全研究人员因报告漏洞而遭到起诉。