Gadgetshowto
Do tej pory nikt nie powinien być zaskoczony naruszeniami danych Aadhaar, ale ekskluzywny raport ZDNet mówi, że prywatność i bezpieczeństwo każdego posiadacza karty Aadhaar w Indiach jest potencjalnie zagrożone. Poważny błąd w zabezpieczeniach jest ostatnim, który wpłynął na kontrowersyjną bazę danych identyfikatorów, która wielokrotnie udowodniła, że jest podatna na jedną poważną lukę w zabezpieczeniach po drugiej.
Według najnowszego raportu na temat koszmarnego stanu bezpieczeństwa Aadhaar, Karan Saini, badacz cyberbezpieczeństwa z New Delhi, pozornie odkrył lukę, która może pozwolić każdemu na dostęp do prywatnych informacji o wszystkich posiadaczach Aadhaar, ujawniając ich nazwiska, unikalne 12- cyfrowe numery identyfikacyjne, informacje o ich danych bankowych, usługach, z którymi są połączeni i nie tylko. Najwyraźniej 13-metrowe ściany nie działały.
Źródłem wycieku danych jest podobno nienazwana państwowa firma użyteczności publicznej, która korzysta z niezabezpieczonego interfejsu API w celu uzyskania dostępu do bazy danych Aadhaar, zagrażając prywatności i bezpieczeństwu nie tylko własnych klientów, ale potencjalnie wszystkich 1,1 miliarda posiadaczy Aadhaar w kraju..
Według Saini, „Punkt końcowy API… nie ma kontroli dostępu, (i) punkt końcowy, którego dotyczy problem, używa zakodowanego na stałe tokena dostępu, który po odkodowaniu tłumaczy się na„ INDAADHAARSECURESTATUS ”, umożliwiając każdemu zapytanie o numery Aadhaar w bazie danych bez dodatkowego uwierzytelniania”.
Interfejs API nie ma żadnego ograniczenia szybkości, umożliwiając atakującemu przechodzenie przez każdą permutację - potencjalnie biliony - liczb Aadhaar i uzyskiwanie informacji za każdym razem, gdy zostanie osiągnięty pomyślny wynik
Blog twierdzi, że skontaktował się z konsulatem indyjskim w Nowym Jorku, aby omówić objawienia Saini, i skontaktował się z konsulem ds. Handlu i ceł, Devi Prasad Misra. Jednak pomimo odpowiedzi na kilka dodatkowych pytań w ciągu następnych kilku tygodni, luka w zabezpieczeniach nadal nie została naprawiona.
W końcu na początku tego tygodnia ZDNet poinformował Mishrę, że historia zostanie opublikowana w piątek (24 marca), ale później nie otrzymała odpowiedzi od władz indyjskich. Według bloga problem nadal występuje, dlatego nie opublikowano dokładnych szczegółów dotyczących luk w zabezpieczeniach, w tym nazwy narzędzia uruchamianego przez stan i adresu URL punktu końcowego interfejsu API, którego dotyczy luka.
