Обнаружен баг, который мог допустить утечку данных 300 миллионов пользователей

Данная уязвимость была обнаружен в третьем по размере оператору связи Индии Indian Airtel.

Менее двух недель назад в API и мобильном приложении Indian Airtel была обнаружена серьезная уязвимость информационной безопасности, которая могла быть использована хакерами для доступа к информации абонентов, используя только их номера.

Пул незащищенной информации включал следующие персональные данные:

  • Имя
  • День рождения
  • Email
  • домашний адрес

Баг был исправлен только после того, как на него обратила внимание BBC.

«В одном из наших тестовых API была техническая проблема, которая была решена, как только она была доведена до нашего сведения», — сообщил представитель Airtel для BBC.

Согласно отчету регулирующего органа Индии в области телекоммуникаций (TRAI), Airtel имела около 325 миллионов активных абонентов к концу сентября 2019 года. Он имеет третью по величине абонентскую базу после Vodafone-Idea (372 млн) и Reliance Jio (355 млн).

Что теперь ожидает Airtel по закону?

  • А ничего. В Индии отсутствовало законодательство, регламентирующее обработку персональных данных и защиту данных на момент бага.

Тем не менее, в соответствии с общим регламентом защиты данных Европейского Союза (GDPR), правительство  Индии представило проект закона О защите персональных данных под названием законопроект о защите персональных данных еще в 2018 году, однако лишь 4 декабря 2019 года Федеральный кабинет министров во главе с премьер-министром Нарендрой Моди одобрил законопроект О защите персональных данных.