印度国营瓦斯公司外泄逾600万笔国民身份识别码

又是缺乏身份认证机制惹的祸！法国资安研究人员Elliot Alderson披露，印度国营的瓦斯服务Indane所设立的网站因完全不设防，而让任何人得以存取用户的个人资料，包括Aadhaar数位身份证号码，估计影响逾670万名的印度民众。

Indane为印度国营石油暨天然气公司IndianOil旗下的瓦斯（LPG）品牌，也是全球第二大的瓦斯供应商，在印度有超过9,000万个家庭是Indane的客户。

Alderson说，他在今年1月从Twitter收到一则私人讯息，提供他一个可以存取Indane用户资料的网址，追查后发现这是Indane的经销入口网站，只要得知经销商的名称就能存取旗下用户资料，包括姓名、地址，以及Aadhaar数位身份证号码。

为了取得经销商的名单，Alderson下载了Indane的行动程式，借由程式找到了Indane各地的批发商资讯，并透过自行打造的Python脚本程式，取得了11,062个有效的经销商名单，该脚本程式还能变更网址上的经销商参数，以进入每个经销商的用户数据库，一天后程式即测试了9,490个经销商，发现了5,826,116名用户资料。

不过，Indane似乎察觉Alderson的行动，封锁了他的IP，根据先前的数据，Alderson推估此法应该可以找到6,791,200名的Indane用户资料。

Alderson在2月15日知会了Indane，却未收到回应，于是选择在4天后公开揭露。