افشای اطلاعات میلیاردها نفر
نفوذ به پایگاه داده بیومتریک در هند
کد مطلب: 13647
تاریخ انتشار : چهارشنبه ۲۷ دی ۱۳۹۶ ساعت ۱۳:۰۰
 
اطلاعات بیش از یک میلیارد شهروند هندی با نفوذ در پایگاه داده‌ بیومتریک این کشور لو رفت.
نفوذ به پایگاه داده بیومتریک در هند
 
 
Share/Save/Bookmark
اطلاعات بیش از یک میلیارد شهروند هندی با نفوذ در پایگاه داده‌ بیومتریک این کشور لو رفت.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، بیش از یک‌میلیارد نفر از شهروندان هندی تحت‌تاثیر افشای پایگاه داده‌ بیومتریک این کشور قرار گرفته‌اند.

خبرنگار یک روزنامه‌ هندی این خبر را به عنوان بخشی از نتایج تحقیقات در زمینه‌ امنیت سازمان شناسایی هند (UIDAI) اعلام کرد. این سازمان به‌عنوان مرجع صدور کارت‌های شناسایی یا ادهار (Aadhaar) در هند فعالیت می‌کند. این کارت‌ها دارای یک شماره‌ شناسایی ۱۲ رقمی منحصربه‌فرد هستند و همچنین قابلیت دسترسی با اثر انگشت و عنبیه کاربر را نیز دارند. این کارت‌ها برای احراز هویت توسط چندین نهاد دولتی و ادارات، ازجمله نهادهایی که مسئول یارانه‌ها و سرویس‌های بهداشت ملی هستند و همچنین بانک‌های دولتی و سایر سازمان‌ها مانند شرکت‌های بیمه‌ هند مورد استفاده قرار می‌گیرند. UIDAI بارها و بارها به‌دلیل امنیت این سامانه مورد نقد قرار گرفته‌است.

در طول این تحقیق روزنامه‌ The Tribune of India توانست فقط با پرداخت ۸ دلار، امتیازات سطح مدیر را برای دسترسی تمام پایگاه‌ داده به‌دست آورد.

این روزنامه توضیح داد: «ما یک سرویس خریداری کردیم که توسط فروشندگان ناشناسی در سراسر واتس‌اپ ارائه می‌شوند، این سرویس امکان دسترسی بدون محدودیت به اطلاعات تمام بیش از یک‌میلیارد شماره‌ ادهار را که تاکنون در هند ایجاد شده‌اند، فراهم می‌کند. این افراد با دریافت فقط ۵۰۰ روپیه (حدود ۸ دلار) از طریق Paytm در عرض ۱۰ دقیقه یک حساب کاربری در سامانه‌ این سازمان ایجاد کرده و یک نام کاربری و گذرواژه در اختیار خبرنگار ما قرار دادند. به این ترتیب می‌توان هر شماره‌ ادهاری را در درگاه وارد کرد و بلافاصله تمام اطلاعاتی مانند نام، آدرس، کدپستی، عکس، شماره تلفن و ایمیل را که ممکن است شخصی در سامانه‌ UIDAI ثبت کند به دست آورد.»

گروه Tribune همچنین پنج دلار دیگر نیز برای پرداخت کرد تا بتواند پس از وارد کردن شماره‌ ادهار هر کسی، رونوشتی از کارت ادهار او را چاپ کند.

سازمان UIDAI این مسئله را کم‌اهمیت جلوه می‌دهد و می‌گوید این کارت‌ها فقط حاوی اطلاعاتی درباره‌ جمعیت‌شناسی (و نه داده‌های بیومتریک) هستند، بنابراین کارت‌های جعلی در اکثر موارد استفاده‌ محدودی دارند.

با این حال یک مقام رسمی به روزنامه‌ Times of India گفت: «سازمان UIDAI دسترسی حدود پنج‌هزار نفر از مدیران رسمی به درگاه ادهار را محدود کرده‌است، چرا که این سازمان در حال ایجاد تغییرات اساسی است. سرویسی که توسط Tribune خریداری شده‌است، اطلاعات ورود یکی از این مدیران رسمی است که به سرقت رفته‌اند. پیش از این، هر مدیری به‌طور کامل به داده‌های آماری موجود در سامانه دسترسی داشت. برای رفع این مشکل، پس از این دسترسی به ادهار بر اساس اثر انگشت صاحب ادهار داده می‌شود و داده‌های موجود فقط برای آن شخص قابل رویت خواهدبود.»

در همین حال، خبرنگاری که این سرویس را خریداری کرده‌بود با یک شکایت مواجه شد. مارتی کامدن، یکی از مدیران شرکت NordVPN، از طریق ایمیل گفت: «به ما هشدار داده شده‌بود که این سازمان ممکن است از خبرنگاری که وجود خطر افشای داده‌ها را که تمام شهروندان هندی با آن مواجه هستند منتشر کرد، شکایت کند. این کار نقض آزادی بیان است. همچنین مقیاس این افشا نشان می‌دهد که مردم هند نمی‌توانند به دولت خود اعتماد کنند و اطلاعات خود را در اختیار آنها قرار دهند.»

وی افزود: «این نوع از اطلاعات شخصی می‌توانند برای انواع فعالیت‌های مجرمانه استفاده شوند. این داده‌ها می‌توانند برای حملات فیشینگ، و یا اخاذی از قربانیان مورد سوء استفاده قرار بگیرند. وقتی این اتفاق برای بیش از یک‌میلیارد نفر رخ دهد، می‌تواند موجب یک هرج‌ومرج کامل شود. به نظر می‌رسد که دولت هند درباره‌ نقض حریم خصوصی تمام شهروندان این کشور نگران نیست، بنابراین توصیه‌ ما این است که شهروندان خودشان نگران حریم خصوصی برخط خود باشند.»

سانجی بری، مدیر منابع انسانی و بنیان‌گذار شرکت امنتی Netskope، گفت: «حتی اگر این‌طور در نظر بگیریم که دولت هند درست می‌گوید و هیچ اطلاعات بیومتریکی در پایگاه داده‌ای که روزنامه‌ The Tribune of India توانست به آن دست پیدا کند، وجود نداشته‌باشد، موقعیت برای کلاهبرداری ویرانگر از این حادثه فراهم است. ممکن است مهاجمان نتوانند رونوشتی از کارت‌های شناسایی ادهار شهروندان تهیه کنند، اما آنها می‌توانند تمام داده‌های لازم برای راه‌اندازی حملات فیشینگ هدف‌دار و سرقت هویت به دست آورند. با داشتن شمار‌های ادهار، آدرس‌ها، شماره‌های تلفن، ایمیل‌ها و عکس بیش از یک‌میلیارد نفر، نفوذگران به‌سادگی می‌توانند تا شهروندان را متقاعد کنند تا داده‌های بیشتری از جمله اطلاعات بانکی خود را در اختیار آنها قرار دهند.»
مرجع : وب‌گاه اخبار امنیتی فن‌آوری اطلاعات و ارتباطات