Gadgetshowto
Do tej pory nie jest tajemnicą, że UIDAI ma trudności z ochroną danych obywateli Aadhaar, a nieodpowiedzialne zachowanie niektórych departamentów rządowych w zakresie przetwarzania danych Aadhaar tylko pogorszyło problem. Ale co, jeśli powiem ci, że możesz uzyskać dostęp do karty Indian Aadhaar za pomocą prostego wyszukiwania w Google? Co jeśli prawie każdy - nawet ci bez umiejętności hakerskich - może uzyskać dostęp do twoich danych Aadhaar tylko dlatego, że udostępniłeś je niezabezpieczonej agencji? Tak, to możliwe.
Choć brzmi to przerażająco, przetestowaliśmy rażącą lukę i byliśmy zaskoczeni, gdy okazało się, że karty Aadhaar obywateli różnych stanów zostały niezabezpieczone w wynikach wyszukiwania w postaci plików PDF. Baptiste Robert aka Elliot Alderson napisał na Twitterze o złowieszczym słowie kluczowym, które otwiera skarbnicę kart Aadhaar i innych poufnych danych. Wszystko, co musisz zrobić, to wyszukać to w Google: Mera Aadhaar Meri Pehchan typ pliku: pdf
Cześć @UIDAI i @ceo_uidai, nadszedł czas, abyś zmusił swoich partnerów do obsługi kart #Aadhaar w bezpieczny sposób.
Jeśli wpiszesz w wyszukiwarkę Google jedną z tych linii, znajdziesz tysiące kart #Aadhaar. @ UIDAI: Czas przyznać, że to nie jest w porządku i popracować nad poprawką. pic.twitter.com/wHDlKevF68- Elliot Alderson (@ fs0c131y) 16 marca 2018 r
W wynikach wyszukiwania, zostaniesz powitany listą plików PDF, które zawierają kopię karty Aadhaar obywateli między innymi z takich stanów jak Uttar Pradesh, Kerala i Karnataka. Otworzyłem drugą i trzecią stronę wyników wyszukiwania Google i stwierdziłem, że jest zaśmiecony kartami Aadhaar w postaci plików PDF do pobrania, bez pytania o hasło.
Oprócz kart Aadhaar natknąłem się też na dokumenty, takie jak formularze wniosków paszportowych i pokwitowania dołączone do kopii dyplomu ukończenia studiów wraz z kartą Aadhaar wnioskodawcy. Co więcej, odkryłem również listę 12127 firm z siedzibą w Bihar, wraz z ich numerami CIN / FCRN i datami rejestracji, otwartą dla każdego, kto ma urządzenie z dostępem do Internetu.
Wcześniej w tym tygodniu francuski ekspert ds. Cyberbezpieczeństwa Robert aka Anderson przesłał film pokazujący, jak można ominąć zabezpieczenia zaktualizowanej aplikacji mAadhaar w mniej niż minutę, po prostu podłączając skradziony smartfon do komputera i uruchamiając na nim polecenie. Chociaż przerażające, wymagało fizycznego dostępu do urządzenia osoby i odrobiny wiedzy na temat kodowania, ale metoda wyszukiwania Google jest po prostu zaskakująca. Nie mogę nawet pojąć, co jeszcze można by odkryć, gdyby inne strony wyników wyszukiwania były skanowane po wygooglowaniu słowa kluczowego.
Ponieważ UIDAI nie jest w stanie chronić naszych danych Aadhaar, rządowe strony internetowe przechodzą od czasu do czasu wycieki danych, szpitale i inne organizacje niewłaściwie obchodzą się / niewłaściwie wykorzystują dane Aadhaar dotyczące beneficjentów, wydaje się, że nie ma wytchnienia. Najwyższy czas, aby rząd zdał sobie sprawę z wagi problemu i podjął odpowiednie działania, w przeciwnym razie Aadhaar okaże się niczym innym jak szalenie kosztowną katastrofą.
