Police ిల్లీ పోలీసు ఆన్‌లైన్ మౌలిక సదుపాయాలలో అసురక్షిత API మొత్తం వ్యవస్థను హానికరమైన నటులకు బహిర్గతం చేసింది. పేజీని అధికారం లేకుండా ప్రశ్నించవచ్చు, ఇది క్లిష్టమైన ముప్పును కలిగిస్తుంది. ఈ అసురక్షిత API తో, దాడి చేసిన వ్యక్తి ఎఫ్ఐఆర్ వివరాలను తనిఖీ చేసి, సిసిటిఎన్ఎస్ క్రిమినల్ మానిటరింగ్ డేటాబేస్కు వివరాలను జోడించవచ్చు లేదా .ిల్లీ పోలీసుల నుండి ఇమెయిల్ మరియు ఎస్ఎంఎస్ పంపవచ్చు. అక్టోబరులో, బెంగళూరుకు చెందిన భద్రతా పరిశోధకుడు కరణ్ సైని పోలీసులకు, సిఇఆర్టి-ఇన్ (సైబర్ భద్రతా సంఘటనలకు నోడల్ రిపోర్టింగ్ ఏజెన్సీ) మరియు ఎన్‌సిఐఐపిసి ఆర్‌విడిపి (వేగవంతమైన దుర్బలత్వం బహిర్గతం కార్యక్రమం క్లిష్టమైన ఇన్ఫ్రాస్ట్రక్చర్లలో భద్రత కోసం నోడల్ ఏజెన్సీ), ఇది సమస్యను గుర్తించింది, కానీ చాలా నెలలుగా సమస్యను మూసివేయలేదు.

నేరాలు మరియు నేర సమాచారాన్ని నిజ సమయంలో పంచుకోవడానికి 2004 లో ప్రవేశపెట్టిన జిప్‌నెట్ వ్యవస్థలోని లోపం వల్ల ఈ దుర్బలత్వం సాధ్యమైంది. ఏదేమైనా, ఇప్పటికే ఉన్న రికార్డులను యాక్సెస్ చేయగలిగేది జిప్‌నెట్ ఏమి చేయాలో ఏర్పాటు చేయబడినది, సైని ఎదుర్కొన్న లోపం కూడా కొన్ని రికార్డులను సవరించే సామర్థ్యాన్ని కలిగి ఉంటుంది.

అక్టోబర్‌లో, ఆర్‌విడిపి బృందం సైనీపై స్పందించి, వెంటనే తన నివేదికను అంగీకరించింది, కాని తరువాత ఎటువంటి చర్యలు లేవు. మేలో గాడ్జెట్ 360 ఈ ఏజెన్సీలను సంప్రదించినప్పుడు, అసురక్షిత API ఇప్పటికీ అందుబాటులో ఉంది, సైని వాటిని వెలుగులోకి తెచ్చిన ఏడు నెలల తర్వాత. దీనర్థం Delhi ిల్లీ పోలీసుల మొత్తం డిజిటల్ మౌలిక సదుపాయాలు ఏడాదిన్నర కాలానికి పైగా ప్రమాదంలో ఉన్నాయి: దాడి చేసిన వ్యక్తి లోపాన్ని కనుగొన్నప్పుడు, అతను మీ పేరు మరియు ఫోటోలను సిసిటిఎన్ఎస్ క్రిమినల్ డేటాబేస్లో చేర్చడం వంటివి చేయగలిగాడు, సైని వివరించారు.

“API the ిల్లీ పోలీసుల కోసం ఉద్దేశించిన అంతర్గత అనువర్తనానికి చెందినదిగా కనిపిస్తుంది. ఎంట్రీలను ప్రవేశపెట్టడానికి లేదా సిసిఐఎస్, సిసిటిఎన్ఎస్ మరియు జిప్నెట్ డేటాబేస్ వ్యవస్థలలో ఉన్న ఎంట్రీలలో మోసపూరిత మార్పులు చేయడానికి దాడి చేసేవారు ఈ ఎపిఐని దుర్వినియోగం చేయవచ్చు” అని సైని చెప్పారు. “DPCRIM” SMS అనే చిన్న కోడ్‌తో వచన సందేశాలను పంపడానికి దాడి చేసే వ్యక్తి ఒక నిర్దిష్ట API ఎండ్‌పాయింట్‌ను దుర్వినియోగం చేయవచ్చు మరియు మోసపూరిత కమ్యూనికేషన్లను పంపే ఉద్దేశ్యంతో delhipolice.gov.in డొమైన్‌లో చట్టబద్ధమైన ఇమెయిల్ చిరునామాను కూడా అభ్యర్థించవచ్చు. – ఫిషింగ్ లేదా మాల్వేర్ ప్రచారంగా. Delhipolice.gov.in డొమైన్ నుండి ఇమెయిల్ పంపే సామర్ధ్యం గురించి ప్రత్యేకంగా చింతిస్తున్న విషయం ఏమిటంటే, ఈ సందర్భంలో, పంపినవారి చిరునామాను స్పూఫ్ చేయడం ద్వారా ఇది జరగదు – కాకపోతే చాలా మంది స్వాధీనం చేసుకుంటారు అన్ని స్పామ్ ఫిల్టర్లు – కానీ ఒక నిర్దిష్ట API ఎండ్ పాయింట్‌లో పొందుపరిచిన చట్టబద్ధమైన మెయిల్ ఆధారాల కారణంగా. “

బాధ్యతాయుతమైన బహిర్గతం జిప్నెట్ బాధ్యతాయుతమైన బహిర్గతం

బాధ్యతాయుతమైన బహిర్గతం పరీక్షలు అసురక్షిత API ఎలా దుర్వినియోగం చేయవచ్చో చూపించాయి.

CCTNS డేటాబేస్ దేశవ్యాప్తంగా పోలీసు విభాగాలు ఉపయోగించే అనేక ముఖ గుర్తింపు కార్యక్రమాలను విత్తడానికి కూడా ఉపయోగించబడుతుంది, కాబట్టి ఇది అమాయక ప్రజలను వేధించడానికి దుర్వినియోగం చేయబడి ఉండవచ్చు; ఇతర దుర్బలత్వాలలో అధికారిక పోలీసు ఇ-మెయిల్ మరియు SMS పంపిణీ నుండి కమ్యూనికేషన్లను పంపడం, తప్పుడు సమాచారాన్ని వ్యాప్తి చేయడానికి మరియు హాని కలిగించడానికి దుర్వినియోగం కావచ్చు.

సైనీ సమాచారం ఆధారంగా, గాడ్జెట్లు 360 సమర్పించిన ఫిర్యాదుల ధృవీకరణను పొందగలిగింది మరియు సమస్యను ధృవీకరించిన తరువాత, RVDP కి చేరుకుంది.

గాడ్జెట్ 360 ఏజెన్సీలను సంప్రదించిన తరువాత, ఎన్‌సిఐఐపిసి ఆర్‌విడిపి స్పందించి సమస్యను అంగీకరించి కొద్ది రోజుల్లో పరిష్కరించింది. లోపం సరిదిద్దబడిందని మరియు ఇకపై ప్రజల భద్రతను ప్రభావితం చేయలేదని సైనీ ధృవీకరించగలిగారు.

“API దాని అసలు స్థానం ద్వారా ఇకపై ప్రాప్యత చేయనప్పటికీ, దాని పనితీరును ఎక్కడికి తరలించినా వాటిని కాపాడటానికి తగిన చర్యలు తీసుకున్నట్లు నిర్ధారించుకోవడం చాలా ముఖ్యం” అని సైనీ తెలిపారు. ప్యాచ్ జరగడానికి చాలా సమయం పట్టింది దురదృష్టకరమని ఆయన అన్నారు. మార్చి 2019 లో, సైనీ, సెంటర్ ఫర్ ఇంటర్నెట్ అండ్ సొసైటీ (సిఐఎస్) కు చెందిన ప్రణేష్ ప్రకాష్ మరియు ఎలోనై హికోక్‌లతో కలిసి ప్రభుత్వానికి భద్రతా లోపాలను బహిర్గతం చేయడంలో సవాళ్ళపై ఒక పత్రాన్ని కూడా ప్రచురించారు, అక్కడ అతను మరియు అతని సహచరులు సిఐఎస్ నుండి ప్రస్తావించారు: ” ప్రస్తుత దుర్బలత్వ బహిర్గతం కార్యక్రమాలు మరియు భారత ప్రభుత్వ సంస్థల ప్రక్రియకు సంబంధించి సమాచార లభ్యత గణనీయంగా లేదు, ఇది పారదర్శకత లేకపోవడంతో మరింత తీవ్రతరం అవుతుంది. “పత్రంలో, వారు కూడా అనేక చర్యలు రాశారు ప్రస్తుత పరిస్థితిని మెరుగుపరచడానికి తీసుకోబడింది.

దుర్బలత్వం యొక్క సున్నితమైన స్వభావాన్ని బట్టి, బలహీనత పరిష్కరించబడే వరకు సైని ఈ సమాచారాన్ని పంచుకోవటానికి ఇష్టపడలేదు, కానీ ఏదో ఒకటి చేయడానికి చాలా నెలలు పట్టింది, మరియు హాస్యాస్పదంగా, సైని పాచ్ గురించి కూడా తెలియజేయబడలేదు. గూగుల్ యొక్క బహిర్గతం టైమ్‌లైన్‌లో 90 రోజుల బహిర్గతం గడువు ఉంది, ఆ తర్వాత ఒక పరిశోధకుడు ఒక సమస్యను వెల్లడించగలడు, అయితే పరిశోధకుడికి సమాచారం ఇవ్వకుండా ఇక్కడ ఏదైనా చర్య తీసుకోవడానికి రెండు రెట్లు ఎక్కువ సమయం పట్టింది.

గాడ్జెట్స్ 360 కు ప్రతిస్పందనగా, ఆర్‌విడిపి ఇలా వ్రాసింది: “సమస్యను సంబంధిత అధికారం సరిదిద్దబడింది మరియు భద్రతా పరిశోధకుడు నివేదించిన అదే సమస్యను 2019 అక్టోబర్ ప్రారంభంలో అధికారానికి నివేదించారు”. ఈ సమస్యను పరిష్కరించడానికి ఎందుకు ఎక్కువ సమయం పట్టిందనే దానిపై అతను ఎటువంటి వివరాలను పంచుకోలేదు మరియు ప్యాచ్ గురించి తనకు సమాచారం ఇవ్వలేదని సైనీ నుండి గాడ్జెట్లు 360 ధృవీకరించింది.

లోపం యొక్క సమస్య కూడా ముఖ్యమైనది అయినప్పటికీ, భారతదేశం యొక్క డిజిటల్ మౌలిక సదుపాయాల యొక్క భద్రత మరియు దృ ness త్వాన్ని మెరుగుపరచాలనుకునే భద్రతా పరిశోధకుల కోసం, వారి పనిని సరిగ్గా చికిత్స చేయడానికి తరచుగా ఎత్తుపైకి యుద్ధం జరుగుతుంది. , చాలామంది విదేశీ సాఫ్ట్‌వేర్ ప్లాట్‌ఫామ్‌లపై దోషాల కోసం శోధించడానికి ఎందుకు ఇష్టపడతారో వివరిస్తుంది, దీని కోసం వారు గుర్తింపు మరియు బహుమతిని పొందుతారు.

ప్రభుత్వ కన్సల్టెంట్‌గా పనిచేసేటప్పుడు పేరు పెట్టవద్దని అడిగిన హైదరాబాద్‌కు చెందిన ఒక పరిశోధకుడు గాడ్జెట్స్ 360 కి ఇది అసాధారణమైన పరిస్థితి కాదని చెప్పారు. “గత ఐదేళ్ళలో పరిస్థితులు ఖచ్చితంగా చాలా మెరుగుపడ్డాయి, ఇంటర్నెట్ యొక్క ప్రాముఖ్యత స్పష్టమైంది, అయితే పురోగతికి ఇంకా స్థలం ఉంది” అని ఆయన అన్నారు.

మునుపటి ఇంటర్వ్యూలో, గ్రోఫర్స్ వద్ద మౌలిక సదుపాయాల భద్రత చీఫ్ ఇంజనీర్ మరియు పార్ట్ టైమ్ బౌంటీ హంటర్ ఈ విలేకరికి మాట్లాడుతూ ప్రభుత్వ మద్దతు లోపించింది. “కనీస గుర్తింపు ఉంది, ఇది సమస్యలను నివేదించకుండా ప్రజలను నిరుత్సాహపరుస్తుంది” అని ఆయన అన్నారు, దీనికి విరుద్ధంగా, ఫ్రెంచ్ పరిశోధకుడు రాబర్ట్ బాప్టిస్ట్ (ట్విట్టర్‌లో ఇలియట్ ఆల్డెర్సన్ అని పిలుస్తారు) వంటి విదేశీయులు బహిర్గతం బహిరంగపరచడం మరియు ప్రసిద్ధి చెందారు. , భారతీయులను పక్కన పెడితే.


మి నోట్బుక్ సిరీస్ 14 భారతదేశానికి ఉత్తమ బడ్జెట్ ల్యాప్‌టాప్ శ్రేణినా? మేము దీన్ని మా వారపు టెక్ పోడ్‌కాస్ట్ ఆర్బిటాల్‌లో చర్చించాము, దీనికి మీరు ఆపిల్ పోడ్‌కాస్ట్ లేదా ఆర్‌ఎస్‌ఎస్ ద్వారా సభ్యత్వాన్ని పొందవచ్చు, ఎపిసోడ్‌ను డౌన్‌లోడ్ చేసుకోవచ్చు లేదా క్రింద ఉన్న ప్లే బటన్‌ను నొక్కండి.

Source link