Nul
En anden data lækage hits Indiens nationale identitet database, Aadhaar. (Billede: file foto)
Indiens nationale ID-database er blevet ramt af endnu en stor sikkerhed bortfalder.
Kendt som Aadhaar, regeringen ID-database er fyldt med identitet og biometriske oplysninger-ligesom fingeraftryk og iris-scanninger-på mere end 1,1 mia registreret Indiske borgere, officielle tal viser. Nogen i databasen kan bruge deres data — eller deres fingeraftryk — for at åbne en bank konto, købe en mobil SIM-kort, tilmelde dig i forsyningsselskaber, og selv modtager statsstøtte eller finansiel bistand. Selv virksomheder, som Amazon og Uber, kan indpasses i de Aadhaar database for at identificere deres kunder.
Registreringen i databasen er ikke obligatorisk, men det Indiske borgere, der ikke er tegnet abonnement er ude af stand til at få adgang til selv basale offentlige tjenester. Andre lande er sat til at følge Indiens føre.
Men systemet har været forfulgt med sikkerhed problemer-herunder, i henhold til Indien ‘ s Tribune, et brud på datasikkerheden. Indiens regerende Bharatiya Janata politisk parti, der senere bliver kaldt rapporten “falske nyheder”.
Nu er databasen lække oplysninger om hver Aadhaar indehaveren, en sikkerheds-forsker har fortalt ZDNet.
En data-lækage på et system, der drives af en statsejede energiselskab kan tillade nogen at hente private oplysninger på alle Aadhaar indehavere, de udsætter deres navne, deres unik 12-cifret identitet numre, og oplysninger om ydelser, som de er tilsluttet, såsom deres bankoplysninger og andre private oplysninger.
Karan Saini, en New Delhi-baseret sikkerhed forsker, der har fundet den sårbare endpoint, sagde, at alle med en Aadhaar nummer er påvirket.
Men de Indiske myndigheder har intet gjort for at rette fejlen. ZDNet har brugt mere end en måned forsøger at kontakte de Indiske myndigheder, men ingen reagerede på vores gentagne e-mails.
Vi har senere kontaktet den Indiske Konsulat i New York og advaret Devi Prasad Misra, konsul for handel og told. I løbet af to uger, er dette problem blev forklaret i detaljer, og vi svarede, at mange opfølgende spørgsmål. Der gik en uge, og den sårbarhed, som var endnu ikke fastsat. I starten af denne uge, vi sagde konsulen, at vi skulle udgive vores historie på fredag, og har anmodet om en kommentar fra den Indiske regering.
Konsulen svarede ikke på det sidste e-mail. På tidspunktet for offentliggørelsen af den pågældende system er stadig online og sårbare. Det er grunden til, vi er tilbageholdelse af specifikke detaljer om sårbarhed, indtil det er fast. (Når det er blevet rettet, vi vil opdatere historien med yderligere detaljer.)
Den nytte udbyder, som vi ikke er navngivning, har adgang til Aadhaar database via en API, som virksomheden bygger på at kontrollere en kundes status og bekræfte deres identitet.
Men fordi virksomheden ikke har sikret API, er det muligt at hente private data på hver Aadhaar holder, uanset om de er kunde det nytte udbyder eller ikke.
API ‘ s endpoint — en URL, som vi offentliggør ikke — har ikke adgang til kontrol på plads, sagde Saini. De berørte endpoint bruger en hardcodede adgang token, som, når den afkodes, kan oversættes til “INDAADHAARSECURESTATUS,” nogen tilladelse til at søge Aadhaar numre mod databasen uden yderligere godkendelse.
Saini fandt også, at API ‘ en ikke har nogen sats begrænsning på plads, der giver en hacker mulighed for at bladre gennem hver permutation — potentielt billioner — af Aadhaar numre og indhente oplysninger, hver gang et vellykket resultat er ramt.
Han forklarede, at det ville være muligt at opregne Aadhaar numre ved at cykle gennem kombinationer som 1234 5678 0000 til 1234 5678 9999.
“En angriber er bundet til at finde nogle gyldige Aadhaar tal, der, som derefter kunne bruges til at finde tilsvarende oplysninger,” sagde han. Og fordi der ikke er nogen sats begrænsning, Saini sagde, at han kunne sende tusindvis af anmodninger hvert minut-bare fra en computer.
Når Saini kørte en håndfuld af Aadhaar numre (fra venner, som gav ham tilladelse) gennem endpoint, serverens svar medtaget Aadhaar indehaverens fulde navn og deres forbruger-nummer — en unik kunde-nummer, der bruges af dette program udbyderen. Svaret afslører også oplysninger om tilsluttet bankkonti, sagde Saini. Screenshots set af ZDNet at afsløre oplysninger om, hvilken bank, som personen bruger — selv, ingen andre bankoplysninger blev returneret.
Der synes at modsige en tweet af Indiens Unikke Identifikation af Myndighed (UIDAI), den offentlige myndighed, der administrerer Aadhaar database, som sagde: “Aadhaar databasen ikke holde nogen oplysninger om bankkonti.”
En anden tweet på den samme dag af Ravi Shankar Prasad, Indiens minister for elektronik og informationsteknologi, sagde også: “Aadhaar ikke gemme oplysninger om din bankkonto.”
Endpoint ikke bare trække data om den nytte udbyderens kunder, API giver adgang til Aadhaar indehavere ” oplysninger, der har forbindelser med andre elselskaber, så godt.
“Fra de anmodninger, der blev sendt ind til en sats, der begrænser spørgsmål og afgøre muligheden for at snuble på tværs af gyldigt Aadhaar numre, jeg har fundet, at denne information er ikke hentet fra en statisk database eller en one-off data få fat i, men det er helt klart ved at blive opdateret-fra så tidligt som i 2014 til medio 2017,” fortalte han ZDNet. “Jeg kan ikke gisne om, hvorvidt det er UIDAI, der giver denne information til nytte udbyder], eller hvis bankerne eller gas selskaber, men det lader til, at alle oplysninger er til rådighed, med ingen godkendelse — nej sats grænse, intet.”
At data på baggrund af det kan ikke ses så følsom, som lækkede eller udsat biometriske data, men det er imidlertid i modstrid med den Indiske regerings påstande om, at databasen er sikker.
Indiens tidligere attorney general Mukul Rohtagi sagde engang, at en tidligere lækage af Aadhaar tal er “stor ståhej for ingenting.”
Men adgang til Aadhaar numre og tilsvarende navne øger risikoen for identitetstyveri, eller kunne føre til efterligning.
Det er længe troet, at identitetstyveri er en af de største udfordringer inden for både UIDAI og Aadhaar antal indehavere. Det er blevet rapporteret, at en sammenkædning af Aadhaar numre til SIM-kort har ført til, at stjålne penge og bedrageri.
Kontroverserne omkring Aadhaar database har været i gang. En måned forud for den Indiske valget i 2014, vil være prime minister Narendra Modi kaldes database sikkerhed i tvivl.
“På Aadhaar, hverken på holdet, som jeg mødte eller PM et svar på mit [spørgsmål] på sikkerheds-trussel den kan udgøre. Der er ingen visioner, kun politiske gimmick,” sagde Modi i en tweet.
Nu, at hans regering er i øjeblikket forsvare identitet ordning i front af landets Højesteret. Kritikere har kaldt databasen forfatningsstridig.
Indtil domstolen træffer afgørelse i sagen, abonnere for at databasen ikke vil være obligatorisk for Indiske borgere. Men der kan ikke være meget trøst for dem, hvis oplysningerne allerede er blevet indsamlet.
Kontakt mig sikkert
Zack Whittaker kan nås sikkert på Signal og WhatsApp på 646-755-8849, og hans PGP fingeraftryk til e-mail er: 4D0E 92F2 E36A EC51 DAAE 5D97 CB8C 15FA EB6C EEA5.
Læs Mere
ZDNET UNDERSØGELSER
Retssager truer infosec forskning — lige når vi har mest brug for det
NSA ‘ s Ragtime program mål Amerikanere, lækkede filer vis
Lækket TSA dokumenter afslører New York airport ‘ s bølge af sikkerhed bortfalder
Den AMERIKANSKE regering skubbet tech firmaer, til at udlevere kildekoden
Millioner af Verizon kunde registreringer, der vises i sikkerhed bortfalder
Mød den dunkle tech mæglere at levere dine data til NSA
Inde i den globale terror-overvågningsliste, der hemmeligt skygger millioner
FCC-formand stemte for at sælge dine browserdata — så vi bad om at se hans
198 millioner Amerikanere er ramt af ” største nogensinde fra vælgerne, registreringer lækage
Storbritannien har bestået den “mest ekstreme overvågning lov, der nogensinde er gået i et demokrati”
Microsoft siger, at “ingen kendte ransomware’ kører på Windows-10 S — så vi har forsøgt at hacke det
Lækket dokument, der afslører BRITISKE planer for større internet-overvågning
Relaterede Emner:
Sikkerhed
Smartphones
Mobil-OS
Hardware
Anmeldelser
0