Главная » Блоги Экспертов И ИТ-Компаний » Национальная идентификационная база данных Индии взломана. Снова

Национальная идентификационная база данных Индии взломана. Снова

В отчетах, опубликованных техническим онлайн-журналом ZDNet, предполагается, что национальная идентификационная база данных Индии была взломана. Это уже второй раз в этом году, когда хакеры смогли получить несанкционированный доступ к важным конфиденциальным персональным данным, принадлежащим гражданам Индии.

Aadhaar – предназначен для защиты граждан

Известная под именем Aadhaar, система хранит данные, принадлежащие зарегистрированным пользователям, включая персональную и биометрическую информацию. В настоящий момент в сервисе зарегистрировано порядка 1,1 миллиардов граждан Индии.

Aadhaar используется в качестве центральной базы для проверки данных о пользователях при открытии банковских счетов, покупки контракта на мобильный телефон или регистрации для получения коммунальных услуг, например, электричества. Аккредитованные поставщики могут получать доступ к идентификационной информации в этой базе данных для проверки личности пользователя. Поддерживая такой центральный реестр, правительство Индии надеется бороться с мошенничеством и кражей личных данных.

Важно отметить, что многие из этих важных сервисов не могут быть доступны посторонним лицам, если они не зарегистрированы должным образом в системе Aadhaar.

Проблема связанных аккаунтов

Впрочем, был обнаружен серьезный недостаток безопасности, позволяющий неавторизованным пользователям перехватывать персональные данные, такие как ФИО, идентификационные номера и банковские данные. Такого рода информация не должна быть общедоступной.

По словам исследователя в сфере безопасности, который первым обнаружил лазейку безопасности, он сумел получить доступ к базе данных Aadhaar со стороны – через Indane, государственного поставщика коммунальных услуг. Веб-сайт Indane подключен к Aadhaar для проверки личности, а исследователь нашел способ, как обмануть Indane, чтобы получить данные, принадлежащие другим людям.

Дальнейшее тестирование нашло серьезный недостаток в безопасности, благодаря которому серьезные хакеры могли бы «угадывать» идентификационные номера, передавать их в систему Indane и автоматически получать все другие идентификационные данные. Таким образом, кибер-преступники потенциально могли бы каждый час осуществлять кражу данных у тысяч пользователей.

К сожалению, правительство Индии достаточно медленно реагировало на данную проблему (они были предупреждены о ней месяц назад), однако в настоящий момент система переведена в режим оффлайн до тех пор, пока не будет устранена проблема. Пока нет никаких доказательств того, что кем-либо еще были украдены какие-то данные.

Предупреждение для всего мира

Данная система является одной из первых подобного рода (в некотором роде аналог сайта госуслуг в России), а многие другие страны планируют последовать примеру Индии. Дыра безопасности в Indane/Aadhaar является достаточно тривиальной, и ее легко можно было избежать при правильном и тщательном тестировании с обеих сторон.

К сожалению для граждан Индии (и любого, чья страна использует национальную идентификационную базу данных), у них нет особого выбора.  Если они не зарегистрированы в этой базе данных, то возможности таких граждан достаточно ограничены. Это означает, что огромная часть населения Индии находится во власти недостатков в разработке и тестировании Aadhaar.

Мы надеемся, что правительства других стран уделяют пристальное внимание проблемам, вызванным Aadhaar, и делают все, чтобы не совершать аналогичные ошибки при разработке и внедрении своих систем. Иначе мы можем ожидать еще много подобных скандалов в ближайшем будущем.

 

Оригинал статьи: India’s national ID database breached. Again.

 

Panda Security в России

 +7(495)105 94 51, marketing@rus.pandasecurity.com

 https://www.cloudav.ru


Данный материал является частной записью члена сообщества Club.CNews.
Редакция CNews не несет ответственности за его содержание.
Комментарии
Другие публикации
RU, Екатеринбург
+7(495)1059451
Информационные технологии

С момента своего создания в 1990 году, компания Panda Security стала одним из ведущих европейским транснациональным производителем передовых решений и сервисов информационной безопасности с опциями расширенной защиты, а также инструментов управления и контроля над компьютерами и ИТ-системами. Компания последовательно придерживается духа инноваций и отмечена рядом наиболее важных достижений в своей сфере.

Компания Panda Security – это лидирующий европейский EDR-производитель со 100% европейским составом акционеров, штаб-квартирой, технологиями и облачной платформой. Ее современная и эффективная модель информационной безопасности стала визитной карточкой, которая позволила компании получить многочисленные официальные сертификаты, такие как сертификация по общим критериям Common Criteria или сертификаты Национального криптологического центра (National Cryptology Center).

Компания имеет представительства в более чем 80 странах мира, а ее продуктами, переведенными на 23 языка, пользуются миллионы клиентов во всем мире.

https://www.cloudav.ru

 

 




Забыл пароль?
Авторизоваться через
Зарегистрируйся сейчас!
Присоединяйся к нашему обществу для того чтобы познакомиться с новыми людьми, создать собственный блог, публиковать анонсы событий и объявления, а также участвовать в обсуждении публикаций CNews. Мы создали единое пространство для общения специалистов рынка информационных технологий и всех, кто интересуется современными технологиями. Регистрация =>