Gadgetshowto
Odkąd dane osobowe szefa TRAI, Ram Sewaka Sharmy, wyciekły po tym, jak ośmielił hakerów, by wyrządzili jakąkolwiek krzywdę, publicznie tweetując jego numer Aadhaar, kraj budził niepokój w kwestii prywatności, co oznacza, że Aadhaar wrócił w centrum uwagi wszystkie złe powody. Odkładając na bok doniesienia o lukach w systemie danych UIDAI, istnieje o wiele więcej szkód, które można wyrządzić, znając tylko numer Aadhaar danej osoby, który graniczy z liniami kradzieży tożsamości.
Wielu błędnie twierdzi, że zwykła znajomość czyjegoś numeru Aadhaar nie wystarczy, ale jak widzimy, jest to nie tylko wystarczające, ale czasami może być więcej niż wystarczające dla przestępców. W następstwie incydentu z RS Sharma, Nilesh Trivedi, ekspert ds. Oprogramowania, wyjaśnił szczegółowo, jakie szkody mogą wyrządzić ci przestępcy, znając Twój numer Aadhaar, i zaufaj mi, kiedy to powiem, otwierające oczy informacje przyprawią Cię o dreszcze twój kręgosłup.
Gdy złośliwa strona zna Twój numer Aadhaar, może przeprowadzić szybkie wyszukiwanie w Google, aby dowiedzieć się, czy ktoś wcześniej przesłał Twoje dane osobowe z łączem do Aadhaar w Internecie i pozostawił niezabezpieczone dokumenty, a jeśli odpowiedź brzmi tak, to teraz zna Twój imię i nazwisko oraz inne dane dotyczące tożsamości, które również otwierają drzwi do Twojej tożsamości w mediach społecznościowych.
Albo, co gorsza, twój numer telefonu komórkowego leży tam odsłonięty na jakiejś stronie w internecie. A jeśli ktoś zna się na Internecie, może uzyskać dostęp do Twoich danych Aadhaar i milionów innych osób, które są otwarcie wymienione na rządowych stronach internetowych, które obejmują również dane akademickie, historię medyczną, adres i datę urodzenia, świadczenia socjalne itp. . Jak ostatnio widzieliśmy w przypadku Prezesa TRAI, nie mniej niż 14 informacji, takich jak jego adres, numer karty PAN, numer telefonu komórkowego, itp. Zostało ujawnionych przy użyciu jego numeru Aadhaar.
Ale załóżmy, że tylko Twój numer Aadhaar i numer telefonu komórkowego są dostępne dla osoby o złych zamiarach. Kiedy już mają Twój numer telefonu komórkowego, przestępcy z podziemnego rynku mogą łatwo utworzyć sklonowaną kartę SIM, która może być teraz używana do otrzymywania OTP do wielu zadań, od tworzenia fałszywego konta e-mail po dostęp do platform mediów społecznościowych, takich jak WhatsApp , Facebook itp., Co oznacza, że interesy ofiary i powiązania z mediami społecznościowymi są teraz dostępne. Ale nie ma tam, gdzie to się kończy.
Ponieważ numer telefonu jest powiązany z platformami płatności mobilnych (czytaj: UPI), można go teraz użyć, aby uzyskać dostęp do historii zakupów ofiary, a także zresetować hasło na różnych platformach, wysyłając monit o zapomnienie hasła i otrzymując zresetowaną wiadomość OTP, wszystko dzięki uwierzytelnianiu dwuskładnikowemu. Można również wykupić płatną usługę ofiary bez jej zgody.
https://twitter.com/nileshtrivedi/status/1023203009201762304
Jeśli chodzi o Aadhaar, ponieważ wewnętrzne interfejsy API zapewniają stronom trzecim wolną rękę do stosowania technologii identyfikacji zamiast bezpiecznego kanału autoryzacji użytkownika, idea zgody praktycznie nie istnieje. Co w zasadzie oznacza, że nawet jeśli Twoje dane biometryczne są unikalne, profil demograficzny zastosowany przez system Aadhaar będzie wystarczający, aby naśladować tożsamość ofiary na platformach stron trzecich.
https://twitter.com/nileshtrivedi/status/1023204083388182528
Ale jest tu jeszcze jeden ważny czynnik, a mianowicie poziom uwierzytelniania. Zgodnie z Trivedi, większość użytkowników nie zablokowała swoich danych biometrycznych, co zasadniczo oznacza, że w przypadku Aadhaar nie jest wymagana żadna warstwa uwierzytelniania, którą Airtel wykorzystał do otwarcia konta Airtel Payments Bank osób, które kupiły nowe karty SIM , za który firma została później ukarana wysoką grzywną.
A jeszcze gorsze jest to, że Aadhaar jest wyjątkowy i nieodwołalny, co oznacza, że po naruszeniu prywatności nie ma odwrotu. Powód? Można odrzucić jego numer telefonu i połączyć wszystkie platformy ze swoim nowym numerem telefonu komórkowego, ale tego samego nie można zrobić z UID, więc cykl będzie kontynuowany.
EPFO już raz w przeszłości zamknęło portal rozsiewania Aadhaar po tym, jak ujawniono, że hakerzy ukradli dane, więc cóż więcej daje pewności, że nie może się to powtórzyć na masową skalę?
Jedyna lekcja z tego wynika, że UIDAI powinien przestać być w trybie odmowy i zacząć wdrażać środki, które mogą zapobiec katastrofie masowej danych. W tej chwili Aadhaar stał się koszmarem prywatności, kiedyś reklamowano go jako najbardziej ambitną inicjatywę identyfikacji biometrycznej na świecie.
Ale nie tylko cyberbezpieczeństwo i jego wdrażanie wymagają nadania priorytetu; istnieje również potrzeba bardziej rygorystycznych przepisów dotyczących sposobu gromadzenia danych biometrycznych, zwłaszcza po zgłoszeniach o sprzedaży narzędzi online, które mogą ominąć biometryczny protokół bezpieczeństwa firmy Aadhaar.
