Nul
Een andere data-lek raakt India ‘ s nationale identiteit database, Aadhaar. (Afbeelding: foto bestand)
India ‘ s nationale ID-database is getroffen door nog een andere belangrijke zekerheid vervallen.
Bekend als Aadhaar, de overheid ID-database zit vol met identiteit en biometrische gegevens, zoals vingerafdrukken en iris-scans — op meer dan 1,1 miljard geregistreerde Indiase burgers, officiële cijfers laten zien. Iedereen in de database kunnen gebruik maken van hun gegevens — of hun vingerafdruk — voor het openen van een bankrekening, het kopen van een mobiele SIM-kaart, schrijf u in voor hulpprogramma ‘ s, en zelfs het ontvangen van staatssteun of financiële bijstand. Zelfs bedrijven als Amazon en Uber, kunt tikken in de Aadhaar database bij het bepalen van hun klanten.
Inschrijven in de database is niet verplicht, maar Indiase burgers die niet geabonneerd hebben geen toegang tot zelfs de basisdiensten van de overheid. Andere landen zullen volgen India ‘ s leiden.
Maar het systeem is achtervolgd met security problemen-met inbegrip van, volgens de indiase Tribune, een data-inbreuk. India ‘ s regerende Bharatiya Janata politieke partij later noemde het rapport “nep-nieuws.”
Nu de database is het lekken van informatie op elk Aadhaar houder, een security-onderzoeker heeft verteld ZDNet.
Een lekken van gegevens op een systeem wordt beheerd door een openbare nutsbedrijf kan iedereen om te downloaden privé-informatie over alle Aadhaar houders, het blootstellen van hun namen, hun uniek 12-cijferig cijfers en informatie over de diensten die zij zijn aangesloten, zoals hun bankgegevens en andere persoonlijke gegevens.
Karan Saini, een Nieuw Delhi-based security-onderzoeker die de kwetsbare eindpunt, zei dat iedereen met een Aadhaar aantal wordt beïnvloed.
Maar de Indiase autoriteiten hebben niets gedaan voor de correctie van de fout. ZDNet bracht meer dan een maand probeert contact te maken met de Indiase autoriteiten, maar niemand reageerde op onze herhaalde e-mails.
Later hebben wij contact opgenomen met de Indiase Consulaat in New York en gewaarschuwd Devi Prasad Misra, consul voor de handel en de douane. Over twee weken, dit probleem werd in detail uitgelegd, en we reageerden te veel follow-up vragen. Er ging een week voorbij, en de kwetsbaarheid nog steeds niet was opgelost. Aan het begin van deze week vertelden we aan de consul dat zouden we publiceren ons verhaal op de vrijdag-en gevraagde reactie van de Indiase regering.
De consul niet reageren op die laatste e-mail. Op het moment van publicatie, het getroffen systeem is nog steeds online en kwetsbaar. Dat is de reden dat we roerende specifieke details over de kwetsbaarheid tot het probleem opgelost is. (Zodra het is opgelost, zullen we updaten het verhaal met meer details.)
De utility provider, waaraan we niet kunnen benoemen, heeft toegang tot de Aadhaar database via een API, die het bedrijf vertrouwt op een klant om te controleren de status en hun identiteit verifiëren.
Maar omdat het bedrijf nog niet verzekerd van de API, is het mogelijk om privégegevens op elke Aadhaar houder, ongeacht of ze nu een klant van de provider utility of niet.
De API-eindpunt-een URL dat we niet publiceren — heeft geen toegang controles, zei Saini. De getroffen eindpunt maakt gebruik van een vaste access token, die, wanneer gedecodeerd, vertaalt naar “INDAADHAARSECURESTATUS,” zodat iedereen query Aadhaar nummers in de database zonder enige aanvullende verificatie.
Saini is ook gebleken dat de API geen tarief beperken in plaats, waardoor een aanvaller om te bladeren door elke permutatie — potentieel miljarden — van Aadhaar nummers en informatie te krijgen elke keer een succesvol resultaat is geraakt.
Hij legde uit dat het mogelijk zou zijn om te inventariseren Aadhaar nummers door fietsen door combinaties, zoals 1234 5678 0000 naar 1234 5678 9999.
“Een aanvaller is gebonden aan een aantal geldig Aadhaar nummers die vervolgens kunnen worden gebruikt om de bijbehorende details,” zei hij. En omdat er geen rate limiting, Saini zei dat hij op kon sturen duizenden requests per minuut — slechts op één enkele computer.
Wanneer Saini liep een handvol Aadhaar nummers (van vrienden die gaf hem toestemming) door middel van het eindpunt, het antwoord van de server inbegrepen de Aadhaar houder van de volledige naam en hun consumenten nummer — een uniek klantnummer gebruikt door nutsbedrijven. Het antwoord blijkt ook informatie over de aangesloten bank accounts, zei Saini. Screenshots gezien door ZDNet onthullen details over die bank die persoon gebruikt — maar, geen andere bancaire informatie is geretourneerd.
Dat lijkt in tegenspraak met een tweet door India ‘ s Unieke Identificatie Autoriteit (UIDAI), de overheidsinstelling die beheert de Aadhaar database, die zei: “Aadhaar database niet te houden van alle informatie over bankrekeningen.”
Een andere tweet op dezelfde dag door Ravi Shankar Prasad, India ‘ s minister voor de elektronica en de informatie-technologie, zei ook: “Aadhaar niet opslaan van de gegevens van uw bankrekening.”
Het eindpunt niet gewoon trek gegevens op de utility-provider klanten; de API laat toe de toegang tot Aadhaar van de houders van de informatie die banden hebben met andere nutsbedrijven.
“Uit de aanvragen die zijn verstuurd om te controleren voor een tarief beperken van het probleem en het bepalen van de mogelijkheid van het struikelen over een geldig Aadhaar nummers, ik heb gevonden dat deze informatie niet hersteld van een statische database of een eenmalige gegevens grijpen, maar duidelijk is bijgewerkt — vanaf 2014 tot medio 2017,” zei hij tegen ZDNet. “Ik kan niet speculeren of het UIDAI dat is deze informatie te verstrekken aan [de utility provider], of als de banken of gas bedrijven zijn, maar het lijkt erop dat iedereen de informatie beschikbaar is, met geen verificatie — geen snelheidslimiet, niets.”
Dat de gegevens op het gezicht van het kan niet worden gezien als een gevoelig als de gelekte of blootgesteld biometrische gegevens, maar het is toch in tegenspraak is met de Indiase regering beweert dat de database veilig is.
India is voormalig procureur-generaal Mukul Rohtagi eens gezegd dat een eerdere lekken van Aadhaar nummers is “much ado about nothing.”
Maar de toegang tot Aadhaar nummers en de bijbehorende namen verhoogt het risico van identiteitsdiefstal of zou kunnen leiden tot imitatie.
Het is lang geloofd dat diefstal van identiteit is een van de grootste problemen waar zowel UIDAI en Aadhaar aantal houders. Het is al gemeld dat de koppeling van Aadhaar nummers naar de SIM-kaarten heeft geleid tot een gestolen geld en fraude.
De controverse rond de Aadhaar database is lopende. Een maand eerder van de Indiase verkiezingen in 2014, zou-premier Narendra Modi genaamd base beveiliging in vraag te stellen.
“Op Aadhaar, noch het team, die ik ontmoette, noch UUR kon het beantwoorden van mijn [vragen] op bedreiging van de veiligheid kan vormen. Er is geen visie, alleen de politieke gimmick,” zei Modi in een tweet.
Nu, zijn regering is momenteel de verdediging van de identiteit regeling in de voorkant van het Hooggerechtshof van zijn land. Critici noemen de database ongrondwettelijk.
Tot de uitspraak van de rechter over de zaak, het abonneren op de database niet verplicht voor Indiase burgers. Maar dat kan niet van veel troost voor degenen waarvan de gegevens al verzameld.
Neem Contact met mij goed
Zack Whittaker kan worden bereikt stevig Signaal en WhatsApp op 646-755-8849, en zijn PGP vingerafdruk voor e-mail is: 4D0E 92F2 E36A EC51 DAAE 5D97 CB8C 15FA EB6C EEA5.
Lees Meer
ZDNET ONDERZOEKEN
Rechtszaken dreigen infosec onderzoek — net toen we het het meest nodig hebt
NSA ‘ s Ragtime-programma richt zich op de Amerikanen, de gelekte bestanden tonen
Gelekt TSA documenten onthullen in New York airport golf van gebrekkige beveiliging
AMERIKAANSE regering geduwd tech bedrijven om de hand over de source code
Miljoenen klant van Verizon records blootgesteld in veiligheid te vervallen
Aan de schimmige tech makelaars dat levert de data voor de NSA
Binnen de wereldwijde terreur watchlist dat in het geheim schaduwen miljoenen
FCC-voorzitter gestemd voor het verkopen van uw browsegeschiedenis, dus hebben we gevraagd te zien zijn
198 miljoen Amerikanen getroffen door de grootste ooit’ kiezer records lek
Groot-brittannië heeft doorgegeven ‘de meest extreme toezicht wet ooit voorbij in een democratie’
Microsoft zegt ‘geen bekende ransomware’ draait op Windows, 10 S, dus hebben we geprobeerd om te hacken
Uitgelekt document onthult de BRITSE plannen voor een bredere internet surveillance
Verwante Onderwerpen:
Veiligheid
Smartphones
Mobiele OS
Hardware
Beoordelingen
0