Zero
Un’altra perdita di dati hits nazionale in India database di identità, Aadhaar. (Immagine: file di foto)
Nazionale in India ID del database è stato colpito da un grande intervallo di sicurezza.
Conosciuto come Aadhaar, il governo del database ID è imballato con le identità e le informazioni biometriche, come le impronte digitali e scansioni dell’iride — più di 1,1 miliardi registrati cittadini Indiani, secondo le cifre ufficiali. Chiunque nel database è possibile utilizzare i loro dati, o la loro identificazione personale — per aprire un conto in banca, comprare un cellulare SIM card, iscriversi a programmi di utilità, e ancora di ricevere aiuti di stato o di assistenza finanziaria. Anche le aziende, come Amazon e Uber, può sfruttare i Aadhaar database per identificare i propri clienti.
Iscrizione nel database non è obbligatoria, ma i cittadini Indiani che non sono iscritto non sono in grado di accedere, anche di base dei servizi di governo. In altri paesi sono pronti a seguire l’India.
Ma il sistema è stato perseguitato con problemi di sicurezza — tra cui, secondo l’India Tribune, una violazione dei dati. India sentenza del Bharatiya Janata partito politico denominato in seguito report “falsa notizia”.
Ora, il database è perdita di informazioni su ogni Aadhaar titolare, un ricercatore di sicurezza ha detto a ZDNet.
Una perdita di dati in un sistema gestito da uno stato di proprietà di società di servizi può consentire a chiunque di scaricare le informazioni private di tutte Aadhaar titolari, esponendo i loro nomi, la loro unica a 12 cifre con i numeri di identificazione e le informazioni sui servizi a cui sono connessi, come i loro dati bancari e altre informazioni personali.
Karan Saini, a Nuova Delhi, a base di ricercatore di sicurezza che ha trovato l’vulnerabili endpoint, ha detto che chiunque con un Aadhaar numero è interessato.
Ma le autorità Indiane non hanno fatto nulla per correggere il difetto. ZDNet ha speso più di un mese cercando di contattare le autorità Indiane, ma nessuno ha risposto alle nostre ripetute e-mail.
Abbiamo poi contattato il Consolato Indiano a New York e ha allertato Devi Prasad Misra, console per commercio e delle dogane. Più di due settimane, questo problema è stato spiegato in dettaglio, e noi abbiamo risposto a molti di follow-up domande. Una settimana passata, e la vulnerabilità non è stato ancora fissato. All’inizio di questa settimana, abbiamo detto il console che abbiamo intenzione di pubblicare la nostra storia venerdì e richiesta di commento da parte del governo Indiano.
La console non ha risposto all’ultima mail. Al momento della pubblicazione, il sistema interessato è ancora in linea e vulnerabili. Per questo motivo, siamo ritenuta dettagli specifici circa la vulnerabilità fino a quando è stato risolto. (Una volta che è stato risolto, provvederemo ad aggiornare la storia con ulteriori dettagli).
Il gestore della rete, che non siamo di denominazione, ha accesso ai Aadhaar database tramite un’API, che l’azienda si affida a controllare un cliente di stato e di verificare la loro identità.
Ma perché la società non ha assicurato l’API, è possibile recuperare i dati privati su ogni Aadhaar titolare, indipendentemente se sei un cliente di il gestore della rete o meno.
Le API endpoint — un URL che non siamo di pubblicazione — non ha i controlli di accesso in luogo, ha detto Saini. L’endpoint interessato utilizza un hardcoded token di accesso, che, una volta decodificato, si traduce in “INDAADHAARSECURESTATUS,” permettendo a chiunque di query Aadhaar numeri contro database, senza alcun ulteriore autenticazione.
Saini anche scoperto che le API non hanno alcuna limitazione della velocità, che consentono a un utente malintenzionato di ciclo attraverso ogni permutazione — potenzialmente migliaia di miliardi-di Aadhaar numeri e ottenere informazioni ogni volta che un risultato di successo è successo.
Egli ha spiegato che sarebbe possibile enumerare Aadhaar numeri in bicicletta attraverso combinazioni, come ad esempio 1234 5678 0000 1234 5678 9999.
“Un attaccante è destinato a trovare qualche valido Aadhaar numeri che potrebbero poi essere utilizzati per trovare la loro corrispondente dettagli”, ha detto. E perché non c’è la limitazione della velocità, Saini, le dice di inviare migliaia di richieste che ogni minuto — solo da un computer.
Quando Saini imbattuto in una manciata di Aadhaar numeri (da amici che gli diede il permesso) attraverso l’endpoint, la risposta del server incluso il Aadhaar del titolare del nome completo e il loro consumo di numero-un unico numero cliente utilizzato dal gestore della rete. La risposta rivela anche informazioni sul collegato conti in banca, ha detto Saini. Screenshot visto da ZDNet rivelare dettagli sulla quale banca che la persona usa-anche se, senza altre informazioni bancarie è stato restituito.
Che sembra in contraddizione con un tweet da parte dell’India di Identificazione di Autorità (UIDAI), il dipartimento del governo che amministra il Aadhaar database, che ha detto: “Aadhaar database non mantiene alcuna informazione su di conti in banca.”
Un altro tweet il giorno stesso da Ravi Shankar Prasad, in India, il ministro per l’elettronica e la tecnologia dell’informazione, ha anche detto: “Aadhaar non salvare i dettagli del tuo conto in banca.”
L’endpoint non solo di estrarre i dati sulla utilità del provider di clienti; l’API consente l’accesso a Aadhaar detentori di informazioni che hanno connessioni con altre aziende.
“Le richieste che sono stati inviati per controllare una limitazione della velocità di emissione e di determinare la possibilità di imbattersi in valido Aadhaar numeri, ho trovato che questo tipo di informazioni non recuperati da un database statico o quadratini di dati, ma è chiaramente in fase di aggiornamento — fin dall’inizio del 2014 alla metà del 2017”, ha detto a ZDNet. “Io non posso speculare se è UIDAI che è in grado di fornire queste informazioni a [la rete], o se le banche o imprese di gas sono, ma sembra che ogni informazione è disponibile, senza necessità di autenticazione-nessun limite di velocità, niente.”
I dati sulla faccia di esso non può essere visto come sensibili come trapelato o esposti i dati biometrici, ma è tuttavia in contraddizione con il governo Indiano sostiene che il database è sicuro.
In India, ex procuratore generale della Mukul Rohtagi una volta ha detto che una precedente perdita di Aadhaar numeri è “molto rumore per nulla”.
Ma l’accesso a Aadhaar numeri e i nomi corrispondenti aumenta il rischio di furto di identità, o potrebbe portare a rappresentazione.
È stato a lungo creduto che il furto di identità è uno dei maggiori problemi affrontati da entrambi UIDAI e Aadhaar numero di titolari. È stato riferito che il collegamento Aadhaar numeri di carte SIM ha portato al furto di denaro e frode.
La controversia che circonda il Aadhaar database è in corso. Un mese prima dell’Indiano elezioni nel 2014, potrebbe essere il primo ministro Narendra Modi chiamato il database di sicurezza in questione.
“A Aadhaar, né la squadra che ho incontrato né il PM potrebbe rispondere alla mia [domande] minaccia per la sicurezza che può comportare. Non c’è visione, solo espediente politico”, ha detto Modi, in un tweet.
Ora, il suo governo sta difendendo l’identità schema davanti Corte Suprema del paese. I critici hanno chiamato il database incostituzionale.
Fino a quando la corte si pronuncia sul caso, l’iscrizione al database non sarà obbligatorio per i cittadini Indiani. Ma che potrebbe non essere molto conforto per coloro i cui dati sono già stati raccolti.
In contatto con me in modo sicuro
Zack Whittaker può essere raggiunto in modo sicuro sul Segnale e WhatsApp al 646-755-8849, e la sua PGP impronte digitali per l’e-mail è: 4D0E 92F2 E36A EC51 DAAE 5D97 CB8C 15FA EB6C EEA5.
Leggi Di Più
ZDNET INDAGINI
Cause minacciare infosec di ricerca — solo quando ne abbiamo più bisogno
NSA Ragtime programma obiettivi Americani, trapelata mostra file
Trapelate TSA documenti rivelano aeroporto di New York ondata di falle di sicurezza
Governo USA ha spinto le ditte di tecnologia a portata di mano il codice sorgente
Milioni di cliente di Verizon record esposti nell’intervallo di sicurezza
Soddisfare le oscure tech broker che forniscono i dati alla NSA
All’interno del terrore globale incagli che segretamente ombre milioni
FCC presidente votato per vendere la vostra cronologia di navigazione — così abbiamo chiesto di vedere la sua
198 milioni di Americani colpiti da ‘più grande mai’ elettore record di perdita di
La gran bretagna ha superato le più estreme di sorveglianza legge mai passato in una democrazia’
Microsoft dice ‘non sono noti ransomware’ gira su Windows 10 S — in questo modo abbiamo cercato per elaborarlo
Trapelato un documento rivela regno UNITO piani per una più ampia sorveglianza
Argomenti Correlati:
Sicurezza
Smartphone
Mobile OS
Hardware
Recensioni
0