Noll
En annan data läcka träffar Indiens nationella identitet databas, Aadhaar. (Bild: en fil foto)
Indiens nationella ID-databasen har drabbats av ett ännu större säkerhet upphör att gälla.
Känd som Aadhaar regeringen ID-databasen är packad med identitet och biometriska uppgifter-som fingeravtryck och iris skannar — på mer än 1,1 miljarder registrerade Indiska medborgare, officiella siffror visar. Vem som helst i databasen kan använda deras data — eller sina tumavtryck — för att öppna ett bankkonto, köpa en mobiltelefon SIM-kort, anmäla dig till verktyg, och även ta emot statligt stöd eller ekonomiskt bistånd. Även företag som Amazon och Uber, kan trycka in den Aadhaar databas för att identifiera sina kunder.
Att registrera sig i databasen inte är obligatorisk, men Indiska medborgare som inte prenumererar inte får tillgång till grundläggande offentliga tjänster. Andra länder kommer att följa Indiens leda.
Men systemet har varit envisa med säkerhet problem — inklusive, enligt Indiens Tribune, ett dataintrång. Indiens styrande Bharatiya Janata politiskt parti som senare kom att kallas i rapporten “falska nyheter”.
Nu är databasen för att läcka information om varje Aadhaar hållare, en säkerhetsforskare har sagt till ZDNet.
En data läcka på ett system som drivs av ett statligt ägt energibolag kan tillåta vem som helst att ladda ner för privat information om alla Aadhaar innehavare, utsätta sitt namn, sitt unika 12-siffriga identitet nummer, och information om de tjänster som de är anslutna till, såsom deras bankuppgifter och annan privat information.
Karan Saini, en New Delhi-baserade säkerhet forskare som hittade den utsatta slutpunkt, sa att vem som helst med en Aadhaar nummer påverkas.
Men de Indiska myndigheterna har gjort något för att åtgärda felet. ZDNet har spenderat mer än en månad att försöka kontakta de Indiska myndigheterna, men ingen svarade på våra upprepade e-post.
Vi kontaktade senare den Indiska Konsulatet i New York och larmade Devi Prasad Misra, konsul för handel och tullar. Över två veckor, det här problemet beskrivs i detalj, och vi svarade på många följdfrågor. En vecka gick, och sårbarheten var fortfarande inte fastställt. I början av denna vecka, vi sa konsuln att vi skulle publicera vår historia på fredag och begärt kommentar från den Indiska regeringen.
Konsuln inte svara på det sista e-post. Vid tidpunkten för publicering, den drabbade datorn är fortfarande på nätet och utsatta. Det är anledningen till att vi är källskatt specifika detaljer om sårbarheten tills det är fixat. (När den har blivit fast, vi kommer att uppdatera berättelsen med ytterligare detaljer.)
Utility leverantör, som vi inte namnge, har tillgång till Aadhaar databas via ett API, som företaget förlitar sig på att kontrollera kundens status och verifiera sin identitet.
Men eftersom bolaget inte har säkrat API, det är möjligt att hämta privata data på varje Aadhaar hållare, oavsett om de är en kund, leverantör av allmännyttiga tjänster eller inte.
API endpoint — en URL som vi inte publicera — har ingen tillgång kontroller på plats, sade Saini. Den drabbade endpoint använder en hårdkodad åtkomsttoken som, när den avkodas, översätts till “INDAADHAARSECURESTATUS” som tillåter vem som helst att fråga Aadhaar siffror mot databasen utan någon ytterligare autentisering.
Saini fann också att API inte har någon hastighetsbegränsande på plats, vilket gör att en angripare för att bläddra igenom varje permutation — potentiellt biljoner — av Aadhaar nummer och få information varje gång ett lyckat resultat är drabbade.
Han förklarade att det skulle vara möjligt att räkna upp Aadhaar nummer genom att cykla genom kombinationer, till exempel 1234 5678 0000 att 1234 5678 9999.
“En angripare är tvungen att hitta något giltigt Aadhaar det nummer som kan användas för att hitta motsvarande information,” sade han. Och eftersom det inte finns någon kurs för att begränsa, Saini sa att han kunde skicka tusentals förfrågningar varje minut-bara från en dator.
När Saini sprang en handfull Aadhaar nummer (från vänner som gav honom tillstånd) genom slutpunkt, serverns svar ingår Aadhaar innehavarens fullständiga namn och deras konsument-nummer-ett unikt kundnummer som används av utility leverantör. Svaret avslöjar också information om anslutna konton, sade Saini. Skärmdumpar ses av ZDNet avslöja detaljer om vilken bank som person använder — men ingen annan bankinformation var tillbaka.
Det verkar strida mot en tweet av Indiens Unik Identifiering av Myndigheten (UIDAI), den myndighet som administrerar Aadhaar databas, som sade: “Aadhaar databasen inte ha någon information om bankkonton.”
En annan tweet på samma dag av Ravi Shankar Prasad, Indiens minister för elektronik och informationsteknik, sade också: “Aadhaar inte spara information om ditt bankkonto.”
Slutpunkten inte bara dra ut uppgifter om leverantör av allmännyttiga tjänster är kunder, API ger tillgång till Aadhaar innehavare information som har kontakter med andra allmännyttiga bolag, liksom.
“Från de ansökningar som skickades in för en hastighetsbegränsande frågan och avgöra risken för att snubbla över giltiga Aadhaar nummer, jag har funnit att denna information är inte hämtad från en statisk databas eller ett one-off-data greppa, men det är tydligt att uppdateras-från så tidigt som 2014 till mitten av 2017”, sa han till ZDNet. “Jag kan inte spekulera i om det är UIDAI som ger denna information till [utility leverantör], eller om bankerna eller gas företag är, men det verkar som att alla uppgifter är tillgängliga, med ingen autentisering — ingen gräns, ingenting.”
Att data på framsidan av det kan inte ses som känsliga som läckt ut eller utsätts biometriska data, men det ändå står i strid med den Indiska regeringens påståenden att databasen är säker.
Indiens förre justitieminister Mukul Rohtagi sade en gång att en tidigare läckage av Aadhaar nummer är “mycket väsen för ingenting.”
Men tillgång till Aadhaar nummer och motsvarande namn ökar risken för identitetsstöld, eller kan leda till identitetsstöld.
Det är länge trott att identitetsstöld är ett av de största problem som drabbar både UIDAI och Aadhaar antalet innehavare. Det har rapporterats att länka Aadhaar nummer till SIM-kort har lett till att stulna pengar och bedrägeri.
Kontroversen kring Aadhaar databasen har pågått. En månad före den Indiska valet 2014, som vill bli premiärminister Narendra Modi som kallas databas säkerhet i fråga.
“På Aadhaar, varken laget som jag träffade eller PM kunde svara på min [frågor] på hot mot säkerheten som den kan innebära. Det finns ingen vision, politiska gimmick,” sade Modi i en tweet.
Nu, hans regering är för närvarande försvarar identitet system i främre delen av landets Högsta Domstol. Kritiker har kallat den databas som grundlagsstridig.
Tills domstolen beslutar om mål, att prenumerera på den databas kommer inte att bli obligatorisk för Indiska medborgare. Men det kanske inte mycket tröst för dem vars uppgifter har använts som redan samlats in.
Kontakta mig ordentligt
Zack Whittaker kan nås säkert på Signal och WhatsApp på 646-755-8849, och hans PGP fingeravtryck för e-post är: 4D0E 92F2 E36A EC51 DAAE 5D97 CB8C 15FA EB6C EEA5.
Läs Mer
ZDNET UTREDNINGAR
Stämningar hotar infosec forskning — precis när vi behöver det som mest
NSA: s Ragtime-programmet mål Amerikaner, läckt ut filer visa
Läckt TSA dokument avslöjar flygplatsen i New York våg av säkerhet upphör
AMERIKANSKA regeringen drivit tech företag att lämna över källkoden
Miljontals Verizon kundregister exponeras i säkerhet förfaller
Möta den mörka tech mäklare att leverera dina data till NSA
Inne i den globala terror bevakningslista som i hemlighet skuggor miljoner
FCC: s ordförande röstade för att sälja din webbhistorik — så vi bad att få se hans
198 miljoner Amerikaner drabbas av “största någonsin” väljare poster läcka
Storbritannien har gått den “mest extrema övervakning lag någonsin gått i en demokrati”
Microsoft säger “inga kända ransomware” som körs på Windows-10 S — så vi försökte hacka den
Läckt dokument avslöjar BRITTISKA planer för en bredare övervakning av internet
Relaterade Ämnen:
Säkerhet
Smartphones
Mobila OS
Hårdvara
Recensioner
0