Gadgetshowto
Până acum, nimeni nu ar trebui să fie surprins de încălcările datelor Aadhaar, dar un raport exclusiv de la ZDNet spune că confidențialitatea și securitatea fiecărui titular de card Aadhaar din India sunt potențial amenințate. Scăderea majoră a securității este cea mai recentă care afectează controversata bază de date de identificare care a fost dovedită de mai multe ori că este predispusă la o eroare majoră de securitate după alta.
Potrivit celui mai recent raport privind starea de coșmar a securității Aadhaar, Karan Saini, un cercetător în securitate cibernetică din New Delhi, a descoperit aparent o vulnerabilitate care poate permite oricui să acceseze informații private despre toți deținătorii Aadhaar, expunându-și numele, 12- numere de identificare a cifrelor, informații despre detaliile bancare ale acestora, serviciile la care sunt conectați și multe altele. În mod clar, pereții de 13 picioare nu au funcționat.
Sursa scurgerii de date este o companie de utilități administrată de stat, care nu folosește un nume, care folosește un API nesecurizat pentru a accesa baza de date Aadhaar, punând în pericol confidențialitatea și securitatea nu doar a propriilor clienți, ci potențial a tuturor celor 1,1 miliarde de deținători Aadhaar din țară.
Potrivit lui Saini, „Punctul final al API-ului ... nu are controale de acces în loc și (și) punctul final afectat folosește un token de acces codificat, care, atunci când este decodificat, se traduce prin„ INDAADHAARSECURESTATUS ”, permițând oricui să interogheze numere Aadhaar împotriva bazei de date fără autentificare suplimentară”.
API-ul nu are nicio limitare a ratei, permițând unui atacator să parcurgă fiecare permutare - potențial trilioane - de numere Aadhaar și să obțină informații de fiecare dată când se obține un rezultat reușit
Blogul susține că a contactat consulatul indian din New York pentru a discuta despre dezvăluirile lui Saini și a luat legătura cu consulul pentru comerț și vamă, Devi Prasad Misra. Cu toate acestea, în ciuda răspunsului la câteva întrebări ulterioare în următoarele câteva săptămâni, vulnerabilitatea nu a fost încă remediată.
În cele din urmă, la începutul acestei săptămâni, ZDNet spune că a informat-o pe Mishra că povestea va fi publicată vineri (24 martie), dar nu a mai fost auzită de autoritățile indiene după aceea. Potrivit blogului, problema persistă, motiv pentru care nu a publicat detaliile exacte despre vulnerabilități, inclusiv numele utilitarului administrat de stat și adresa URL a punctului final vulnerabil API.
