乌克兰安全研究员Bob Diachenko发现，有两个独立IP地址存储着超过2.88亿条记录，其中一个IP下约有2.8亿条记录，另一IP下约有840万条记录。

Diachenko表示，两个IP均未经密码保护，数据被公开暴露在互联网上。两个IP地址归属印度，属于微软Azure托管服务。

这些记录属于“UAN”Elasticsearch集群。UAN是指印度国有雇员公积金组织（EPFO）分配给养老基金持有者们的通用账号。

Diachenko透露，“据我了解，数据库中的信息可被用来拼凑出这些印度公民的完整资料，致使他们成为网络钓鱼或欺诈攻击的目标。”

每条记录中都包含他们的个人身份信息，包括婚姻状况、性别和出生日期。以及与养老基金账户有关的细节信息，包括UAN、银行账号和就业情况。

除了泄露养老基金持有者们的个人身份信息（PII）之外，这些记录中还暴露了相应代名人的信息，例如代名人全名、与账户持有人的关系。

Diachenko在本周早些时候发现这些泄露敏感数据的IP地址。他昨天在Twitter上发布一张截图，展示了暴露个人信息的数据字段，并点名印度计算机应急响应小组（CERT-In）。这条推文发布后不到一天，两个问题IP均已无法访问。

Diachenko表示，目前还不清楚应该由谁对网上暴露的海量数据负责，也不清楚除他之外是否还有其他人发现了这些数据。

外媒TechCrunch已经向印度国有雇员公积金组织、计算机应急响应小组以及该国IT部门发出置评请求，但未得到回应。

据安全内参了解，印度中央公积金专员在2018年就曾通知国家IT部门，称黑客可以从公积金组织的Aadhaar门户网站窃取数据。该事件导致约2700万养老基金持有者身陷风险。事后，养老基金机构表示并未发生数据泄露，但没有给出任何相应证据。

参考资料：techcrunch.com=

来源:安全内参