27 Марта, 2018

Национальная идентификационная база данных Индии взломана. Снова

Panda Security в России и СНГ


В отчетах, опубликованных техническим онлайн-журналом ZDNet , предполагается, что национальная идентификационная база данных Индии была взломана. Это уже второй раз в этом году, когда хакеры смогли получить несанкционированный доступ к важным конфиденциальным персональным данным, принадлежащим гражданам Индии.

Aadhaar – предназначен для защиты граждан


Известная под именем Aadhaar, система хранит данные, принадлежащие зарегистрированным пользователям, включая персональную и биометрическую информацию. В настоящий момент в сервисе зарегистрировано порядка 1,1 миллиардов граждан Индии.

Aadhaar используется в качестве центральной базы для проверки данных о пользователях при открытии банковских счетов, покупки контракта на мобильный телефон или регистрации для получения коммунальных услуг, например, электричества. Аккредитованные поставщики могут получать доступ к идентификационной информации в этой базе данных для проверки личности пользователя. Поддерживая такой центральный реестр, правительство Индии надеется бороться с мошенничеством и кражей личных данных.
Важно отметить, что многие из этих важных сервисов не могут быть доступны посторонним лицам, если они не зарегистрированы должным образом в системе Aadhaar.

Проблема связанных аккаунтов

Впрочем, был обнаружен серьезный недостаток безопасности, позволяющий неавторизованным пользователям перехватывать персональные данные, такие как ФИО, идентификационные номера и банковские данные. Такого рода информация не должна быть общедоступной.

По словам исследователя в сфере безопасности, который первым обнаружил лазейку безопасности, он сумел получить доступ к базе данных Aadhaar со стороны – через Indane, государственного поставщика коммунальных услуг. Веб-сайт Indane подключен к Aadhaar для проверки личности, а исследователь нашел способ, как обмануть Indane, чтобы получить данные, принадлежащие другим людям.

Дальнейшее тестирование нашло серьезный недостаток в безопасности, благодаря которому серьезные хакеры могли бы «угадывать» идентификационные номера, передавать их в систему Indane и автоматически получать все другие идентификационные данные. Таким образом, кибер-преступники потенциально могли бы каждый час осуществлять кражу данных у тысяч пользователей.
К сожалению, правительство Индии достаточно медленно реагировало на данную проблему (они были предупреждены о ней месяц назад), однако в настоящий момент система переведена в режим оффлайн до тех пор, пока не будет устранена проблема. Пока нет никаких доказательств того, что кем-либо еще были украдены какие-то данные.

Предупреждение для всего мира

Данная система является одной из первых подобного рода (в некотором роде аналог сайта госуслуг в России), а многие другие страны планируют последовать примеру Индии. Дыра безопасности в Indane/Aadhaar является достаточно тривиальной, и ее легко можно было избежать при правильном и тщательном тестировании с обеих сторон.
К сожалению для граждан Индии (и любого, чья страна использует национальную идентификационную базу данных), у них нет особого выбора.  Если они не зарегистрированы в этой базе данных, то возможности таких граждан достаточно ограничены. Это означает, что огромная часть населения Индии находится во власти недостатков в разработке и тестировании Aadhaar.
Мы надеемся, что правительства других стран уделяют пристальное внимание проблемам, вызванным Aadhaar, и делают все, чтобы не совершать аналогичные ошибки при разработке и внедрении своих систем. Иначе мы можем ожидать еще много подобных скандалов в ближайшем будущем.


Оригинал статьи: India’s national ID database breached. Again.


Panda Security в России
+7(495)105 94 51, marketing@rus.pandasecurity.com