Блог

Другая утечка данных поражает индийскую национальную (19459008)

База данных национальных идентификаторов Индии была поражена еще одним серьезным провалом в безопасности.

Известный как Aadhaar, официальные данные показывают, что база данных государственных идентификаторов заполнена идентификационной информацией и биометрической информацией — например, отпечатками пальцев и ирисовой диафрагмой — более 1,1 миллиарда зарегистрированных граждан Индии, и каждый из базы данных может использовать свои данные — или их отпечаток — для открытия банковский счет, купить сотовую SIM-карту, зачислить коммунальные услуги и даже получить государственную помощь или финансовую помощь. Даже компании, такие как Amazon и Uber, могут использовать базу данных Aadhaar для идентификации своих клиентов.

Регистрация в базе данных не является обязательной, но граждане Индии, которые не подписаны, не могут получить доступ даже к базовым государственным услугам. Другие страны намерены следовать примеру Индии.

Но система была преследована проблемами безопасности, в том числе, по данным индийской Tribune нарушения данных. Правящая партия Индии Бхаратия Джаната позже назвала отчет «поддельными новостями».

Теперь в базе данных была утечка информации о каждом держателе Aadhaar, сказал исследователь безопасности ZDNet .

Утечка данных в системе, управляемой государственной коммунальной компанией Indane, позволила кому-либо загружать конфиденциальную информацию обо всех владельцах Aadhaar, раскрывая их имена, свои уникальные 12-значные идентификационные номера и информацию об услугах, к которым они подключены, такие как их банковские реквизиты и другая личная информация.

Каран Саини (Karan Saini), исследователь по безопасности в Нью-Дели, который нашел уязвимую конечную точку, сказал, что пострадавший имеет номер Aadhaar.

Однако индийские власти ничего не делали в течение недель, чтобы исправить недостаток. ZDNet потратил более месяца, пытаясь связаться с индийскими властями, но никто не ответил на наши повторные письма.

Позднее мы связались с индийским консульством в Нью-Йорке и предупредили Деви Прасад Мишру, консула о торговле и обычаях. Более двух недель этот вопрос был подробно объяснен, и мы ответили на многие последующие вопросы. Прошла неделя, и уязвимость все еще не была исправлена. В начале этой недели мы сказали консулу, что мы опубликуем нашу статью в пятницу и запросим комментарий от правительства Индии.

Консул не ответил на это последнее письмо. На момент публикации затронутая система все еще была в сети и уязвима — но через несколько часов после того, как наш рассказ был опубликован, пораженная конечная точка была отключена.

Как и ожидалось, уникальный идентификационный орган Индии (UIDAI), правительство

«В этой истории нет правды, поскольку абсолютно не было нарушения базы данных Aadhaar UIDAI. Aadhaar остается безопасным и безопасным», — говорится в части заявление, отправленное в Twitter, которое вы можете прочитать здесь.

Поставщик коммунальных услуг Indane имеет доступ к базе данных Aadhaar через API, который компания полагается для проверки статуса клиента и проверки их личности.

Но поскольку компания не обеспечила API, можно было получить личные данные на каждом держателе Aadhaar, независимо от того, являются ли они клиентом поставщика коммунальных услуг или нет.

Конечная точка API — URL-адрес домена компании — не имел контроля доступа на месте, сказал Сайни. Задействованная конечная точка использовала жестко запрограммированный токен доступа, который при декодировании переводится в «INDAADHAARSECURESTATUS», позволяя любому запрашивать номера Aadhaar против базы данных без какой-либо дополнительной аутентификации.

Saini также обнаружил, что API не имеет ограничений по скорости, позволяя злоумышленнику циклически перебирать каждую перестановку — потенциально триллионы — чисел Aadhaar и получать информацию каждый раз, когда удачный результат ударяется.

Он пояснил, что можно было бы перечислить числа Аадхаара путем циклирования через комбинации, такие как 1234 5678 0000 до 1234 5678 9999.

«Злоумышленник обязан найти там какие-то действительные номера Aadhaar, которые затем могут быть использованы для поиска соответствующих деталей», — сказал он. И поскольку нет ограничения скорости, Сайни сказал, что он может отправлять тысячи запросов каждую минуту — только с одного компьютера.

Когда Сайни пробежал несколько номеров Aadhaar (от друзей, которые дали ему разрешение) через конечную точку, ответ сервера включал полное имя владельца Aadhaar и его потребительский номер — уникальный номер клиента, используемый Инданом. В ответе также содержится информация о связанных банковских счетах, сказал Саини. Скриншоты, увиденные ZDNet раскрывают информацию о том, какой банк использует этот человек, хотя никакая другая банковская информация не была возвращена.

Это, похоже, противоречит чириканье UIDAI, в котором говорилось: «База данных Aadhaar не хранит никакой информации о банковских счетах».

Еще один твит в тот же день Рави Шанкар Прасад, министр Индии по электронике и информационным технологиям, также сказал: «Aadhaar не сохраняет данные вашего банковского счета».

Конечная точка не просто извлекала данные о клиентах поставщика коммунальных услуг; API позволил получить доступ к информации владельцев Aadhaar, которые также имеют связи с другими коммунальными компаниями.

«Из запросов, которые были отправлены для проверки проблемы ограничения скорости и определения возможности спотыкания по действительным номерам Aadhaar, я обнаружил, что эта информация не извлекается из статической базы данных или разового захвата данных, но явно обновленный — с 2014 года до середины 2017 года », — сказал он ZDNet . «Я не могу предположить, является ли это UIDAI, который предоставляет эту информацию [the utility provider]или если банки или газовые компании, но кажется, что доступна вся информация, без аутентификации — без ограничения скорости, ничего.»

ZDNet публикует две записи — образец — данных, которые были утечены. Мы отредактировали некоторую информацию для защиты данных. (Изображение: прилагается)

. Эти данные на первый взгляд могут быть не такими чувствительными, как утечка или выставление биометрических данных, но тем не менее это противоречит утверждениям индийского правительства о том, что база данных безопасна.

Бывший генеральный прокурор Индии Мукул Рохтаги однажды сказал, что предыдущая утечка чисел Аадхаара «много шума из ничего».

Однако доступ к номерам Aadhaar и соответствующим им названиям увеличивает риск кражи личных данных или может привести к олицетворению.

Долгое время считалось, что кража личных данных является одной из самых больших проблем, с которыми сталкиваются как владельцы UIDAI, так и Aadhaar. Сообщалось, что связывание чисел Aadhaar с SIM-картами привело к краже денег и мошенничества.

Противоречие вокруг базы данных Aadhaar продолжается. За месяц до выборов в Индии в 2014 году потенциальный премьер-министр Нарендра Моди назвал безопасность базы данных под вопросом.

«На Aadhaar ни команда, с которой я встречался, ни PM не могли ответить на мой [questions] на угрозу безопасности, которую она может представлять. Нет никакого видения, только политический трюк», — сказал Моди в твиттере.

Теперь его правительство в настоящее время защищает схему идентификации перед Верховным судом страны. Критики назвали базу данных неконституционной.

Пока суд не примет решение по этому делу, подписка на базу данных не будет обязательной для граждан Индии.

Обновлено 24 марта: с дополнительной информацией о пораженной конечной точке, которая была отключена в течение нескольких часов публикации этого сюжета.