اطلاعات بیش از یک میلیارد شهروند هندی با نفوذ در پایگاه داده بیومتریک این کشور لو رفت.
منبع : وبگاه اخبار امنیتی فنآوری اطلاعات و ارتباطات
اطلاعات بیش از یک میلیارد شهروند هندی با نفوذ در پایگاه داده بیومتریک این کشور لو رفت.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، بیش از یکمیلیارد نفر از شهروندان هندی تحتتاثیر افشای پایگاه داده بیومتریک این کشور قرار گرفتهاند.
خبرنگار یک روزنامه هندی این خبر را به عنوان بخشی از نتایج تحقیقات در زمینه امنیت سازمان شناسایی هند (UIDAI) اعلام کرد. این سازمان بهعنوان مرجع صدور کارتهای شناسایی یا ادهار (Aadhaar) در هند فعالیت میکند. این کارتها دارای یک شماره شناسایی ۱۲ رقمی منحصربهفرد هستند و همچنین قابلیت دسترسی با اثر انگشت و عنبیه کاربر را نیز دارند. این کارتها برای احراز هویت توسط چندین نهاد دولتی و ادارات، ازجمله نهادهایی که مسئول یارانهها و سرویسهای بهداشت ملی هستند و همچنین بانکهای دولتی و سایر سازمانها مانند شرکتهای بیمه هند مورد استفاده قرار میگیرند. UIDAI بارها و بارها بهدلیل امنیت این سامانه مورد نقد قرار گرفتهاست.
در طول این تحقیق روزنامه The Tribune of India توانست فقط با پرداخت ۸ دلار، امتیازات سطح مدیر را برای دسترسی تمام پایگاه داده بهدست آورد.
این روزنامه توضیح داد: «ما یک سرویس خریداری کردیم که توسط فروشندگان ناشناسی در سراسر واتساپ ارائه میشوند، این سرویس امکان دسترسی بدون محدودیت به اطلاعات تمام بیش از یکمیلیارد شماره ادهار را که تاکنون در هند ایجاد شدهاند، فراهم میکند. این افراد با دریافت فقط ۵۰۰ روپیه (حدود ۸ دلار) از طریق Paytm در عرض ۱۰ دقیقه یک حساب کاربری در سامانه این سازمان ایجاد کرده و یک نام کاربری و گذرواژه در اختیار خبرنگار ما قرار دادند. به این ترتیب میتوان هر شماره ادهاری را در درگاه وارد کرد و بلافاصله تمام اطلاعاتی مانند نام، آدرس، کدپستی، عکس، شماره تلفن و ایمیل را که ممکن است شخصی در سامانه UIDAI ثبت کند به دست آورد.»
گروه Tribune همچنین پنج دلار دیگر نیز برای پرداخت کرد تا بتواند پس از وارد کردن شماره ادهار هر کسی، رونوشتی از کارت ادهار او را چاپ کند.
سازمان UIDAI این مسئله را کماهمیت جلوه میدهد و میگوید این کارتها فقط حاوی اطلاعاتی درباره جمعیتشناسی (و نه دادههای بیومتریک) هستند، بنابراین کارتهای جعلی در اکثر موارد استفاده محدودی دارند.
با این حال یک مقام رسمی به روزنامه Times of India گفت: «سازمان UIDAI دسترسی حدود پنجهزار نفر از مدیران رسمی به درگاه ادهار را محدود کردهاست، چرا که این سازمان در حال ایجاد تغییرات اساسی است. سرویسی که توسط Tribune خریداری شدهاست، اطلاعات ورود یکی از این مدیران رسمی است که به سرقت رفتهاند. پیش از این، هر مدیری بهطور کامل به دادههای آماری موجود در سامانه دسترسی داشت. برای رفع این مشکل، پس از این دسترسی به ادهار بر اساس اثر انگشت صاحب ادهار داده میشود و دادههای موجود فقط برای آن شخص قابل رویت خواهدبود.»
در همین حال، خبرنگاری که این سرویس را خریداری کردهبود با یک شکایت مواجه شد. مارتی کامدن، یکی از مدیران شرکت NordVPN، از طریق ایمیل گفت: «به ما هشدار داده شدهبود که این سازمان ممکن است از خبرنگاری که وجود خطر افشای دادهها را که تمام شهروندان هندی با آن مواجه هستند منتشر کرد، شکایت کند. این کار نقض آزادی بیان است. همچنین مقیاس این افشا نشان میدهد که مردم هند نمیتوانند به دولت خود اعتماد کنند و اطلاعات خود را در اختیار آنها قرار دهند.»
وی افزود: «این نوع از اطلاعات شخصی میتوانند برای انواع فعالیتهای مجرمانه استفاده شوند. این دادهها میتوانند برای حملات فیشینگ، و یا اخاذی از قربانیان مورد سوء استفاده قرار بگیرند. وقتی این اتفاق برای بیش از یکمیلیارد نفر رخ دهد، میتواند موجب یک هرجومرج کامل شود. به نظر میرسد که دولت هند درباره نقض حریم خصوصی تمام شهروندان این کشور نگران نیست، بنابراین توصیه ما این است که شهروندان خودشان نگران حریم خصوصی برخط خود باشند.»
سانجی بری، مدیر منابع انسانی و بنیانگذار شرکت امنتی Netskope، گفت: «حتی اگر اینطور در نظر بگیریم که دولت هند درست میگوید و هیچ اطلاعات بیومتریکی در پایگاه دادهای که روزنامه The Tribune of India توانست به آن دست پیدا کند، وجود نداشتهباشد، موقعیت برای کلاهبرداری ویرانگر از این حادثه فراهم است. ممکن است مهاجمان نتوانند رونوشتی از کارتهای شناسایی ادهار شهروندان تهیه کنند، اما آنها میتوانند تمام دادههای لازم برای راهاندازی حملات فیشینگ هدفدار و سرقت هویت به دست آورند. با داشتن شمارهای ادهار، آدرسها، شمارههای تلفن، ایمیلها و عکس بیش از یکمیلیارد نفر، نفوذگران بهسادگی میتوانند تا شهروندان را متقاعد کنند تا دادههای بیشتری از جمله اطلاعات بانکی خود را در اختیار آنها قرار دهند.»