세계
설명: RBI의 bank.in 레지스트리 취약점이 13개월 동안 민감한 데이터를 노출시킨 방법
독립 연구원 Srikanth L은 RBI의 '.bank.in' 도메인 등록 포털에서 33개 이상의 인증되지 않은 엔드포인트를 발견했으며, 이로 인해 5,576명의 은행 직원의 민감한 데이터가 최소 13개월 동안 유출되었습니다.
유출된 데이터에는 비밀번호 해시, 휴대폰 번호, 이메일, 기기 지문이 포함되었습니다. 또한 1,072개의 고아 슈퍼 관리자 계정이 발견되었고, 민간 업체가 글로벌 관리자 액세스 권한을 보유하고 있었습니다. CERT-In은 17일 만에 문제를 해결했습니다. 포털은 공개 입찰이나 보안 검토 없이 생성되었습니다.
MediaNama·
