រដ្ឋាភិបាលឥណ្ឌាបានបង្ហើបប្រាប់ពីបញ្ហាដែលកើតមាននៅក្នុងសេវាកម្មរក្សាសុវត្ថិភាពកញ្ចប់ឯកសារ Digilocker ដែលបានបើកចំហឱ្យហេគឃ័រអាចឆ្លងកាត់ mobile one-time passwords (OTP) និងលួច ចូលទៅក្នុងគណនីអ្នកប្រើដទៃទៀតបាន។
របបគំហើញនេះត្រូវបានបង្ហាញដោយអ្នកស្រាវជ្រាវឯករាជ្យពីរនាក់គឺលោក Mohesh Mohan និង Ashish Gahlot កង្វះខាតនេះនាំឱ្យហេគឃ័រអាចទាញយកឯកសាររសើបៗនៅលើ platform របស់ រដ្ឋាភិបាល។
លោក Mohesh Mohan បានរាយការណ៍ប្រាប់សារព័ត៌មាន The Hacker News ថា “តួនាទីរបស់ OPT ខ្វះការរក្សាកម្មសិទ្ធិបញ្ញាដែលធ្វើឱ្យហេគឃ័រអាចដំណើរការ OTP ដែលមាន សុពលភាពជាមួយនឹងអ្នកប្រើប្រាស់ផ្សេង និងអាចចូលទៅក្នុងគណនីអ្នកដទៃបានដោយងាយ” ។
យោងតាមប្រសាសន៍របស់លោក Mohan បានឱ្យដឹងថា: ហេគឃ័រចង់ដឹងពី Aadhaa ID ឬក៏ linked mobile number ឬក៏ username ក្នុងគោលបំណងលួចចូលទៅក្នុងគណនី Digilocker ទទួលយកសេវា ដើម្បីផ្ញើ OPT និងស្វែងរកចំណុចខ្សោយ (flaw) ដើម្បីចូលទៅដំណើរការគណនី។
បន្ទាប់ពីបញ្ហាត្រូវបានរាយការណ៍ ទៅ CERT-in នៅថ្ងៃទី១០ ខែឧសភា ដោយលោក Mohan និងទៅ Digilocker នៅថ្ងៃទី១៦ ក្នុងខែ ដដែលដោយលោក Ashish ភ្នាក់ងារសុវត្ថិភាពបានប្រាប់ថាបញ្ហាត្រូវបានដោះស្រាយនៅថ្ងៃទី២៨ ខែមុននេះ។
Digilocker បានប្រាប់នៅលើបណ្ដាញសង្គម Twitter កាលពីសប្តាហ៍មុនថា “គណនី Digilocker របស់អ្នកអាចត្រូវបានគេ លួចចូលបានយ៉ាងងាយ ប្រសិនបើហេគឃ័រស្គាល់ username គណនីរបស់អ្នក” ។ ក្រុមការងារបាន បន្ថែមទៀតថា “យោងតាមការវិភាគ វារកឃើញថាបញ្ហានេះកំពុងតែដោះស្រាយដោយបន្ថែមលក្ខណៈ ពិសេសមួយចំនួនទៀតនៅពេលថ្មីៗនេះ។
ចន្លោះប្រហោងនេះត្រូវបាន patch លើបញ្ហាដែលកំពុងតែ កើតមាននៅចំពោះមុខជាបឯមដោយក្រុមការងារបច្ចេកទេស។ បញ្ហានេះមិនបានប៉ះពាល់ទៅដល់ infrastructure, data, database, storage ឬក៏ encryption ទេ” ៕
ប្រែសម្រួលដោយ៖ កញ្ញា
ប្រភពព័ត៌មាន ថ្ងៃទី៨ ខែមិថុនា ឆ្នាំ២០២០
