Докладите, публикувани от онлайн специализираното списание ZDNet, показват, че индийската национална база данни с идентификационни данни е била “пробита”. Това е вторият пробив за тази година като отговорните за това лица са получили неоторизиран достъп до изключително чувствителни лични данни, принадлежащи на индийски граждани.
Aadhaar – в защита на гражданите
Системата Aadhaar съхранява данни, принадлежащи на регистрирани потребители, включително данни за самоличност както и биометрични данни.
Около 1,1 милиарда индийски граждани имат регистрации във въпросната услуга.
Aadhaar се използва като централна точка за проверка и откриване на банкови сметки, сключване на договор с мобилен оператор или записване за плащане на битови услуги като електричество например. Одобрените доставчици на услуги имат достъп до информация за самоличността на гражданите. По този начин те могат да проверят самоличността на кандидата. Поддържайки централен регистър, индийското правителство се надява да се бори с измамите със самоличност и кражбите.
Важно е, че много от тези услуги не могат да бъдат достъпни от всеки, който не е регистриран в услугата Aadhaar.
Проблем със свързаните профили
Сериозна дупка в сигурността беше открита. Тя позволява на неупълномощени потребители да прихващат чувствителни лични данни, включително имена, идентификационни номера и банкови данни.Все вид информация, която никога не трябва да бъде публично достъпна.
Според специалистът по киберсигурност, който за първи път е открил уязвимостта е имал достъп до базата данни на Aadhaar чрез трето лице – доставчикът на комунални услуги Indane. Интернет страницата на Indane е свързана с Aadhaar, за да провери самоличността, а изследователят е намерил начин да измами Indane, за да му даде данни, принадлежащи на други хора.
По-нататъшното тестване разкри сериозен недостатък в дизайна на сигурността, който би позволил на сериозните хакери да “предскажат” идентификационните номера, да ги захранват в системата Indane и автоматично да връщат всички други данни за самоличност. Тъй като тези предположения не са ограничени във всички случаи, киберпрестъпниците биха могли да откраднат хиляди идентичности на всеки час.
Въпреки че индийското правителство реагира много бавно ( бяха предупредени за проблема преди повече от месец), системата вече е офлайн, докато дупката в сигурността не бъде поправена. Все още няма доказателства, които да сочат, че са били откраднати лични данни.
Но това трябва да бъде предупреждение за останалата част от света
Системата е една от първите по рода си и много други страни се надяват да следват примера на Индия. Проблемът при Indane / Aadhaar лесно би могъл да бъде избегнат с правилното и продължително тестване, преди да бъде пуснат.
За съжаление на индийските граждани – и за всеки друг, чиято страна използва национална база данни за самоличност – те нямат голям избор по въпроса. Ако не са регистрирани, възможностите на гражданите са ограничени. Което означава, че огромна част от индийското население е в ръцете на лошия дизайн и тестване на Aadhaar.
Да се надяваме, че правителствата в други държави обръщат сериозно внимание на проблемите, които могат да бъдат причинени от Aadhaar, и гарантират, че няма да допуснат същите грешки при пускането на собствените си системи за самоличност. В противен случай можем да станем свидетели на много подобни пробиви в близко бъдеще.
Източник: Panda Media Center
За Panda Security
Превърнала се в един от водещите световни разработчици на решения за ИТ сигурност, Panda Security има представителства в 80 страни и милиони потребители в повече от 195 държави. Предлага продукти, адаптирани на 23 езика. Обновявайки решенията си компанията постоянно внедрява нови модели и технологии и повишава ефективността си в борбата с интернет заплахите. Благодарение на модула за сигурност Tru Prevent и технологията Collective Intelligence всяко решение предпазва максимално ценната ИТ информация, както от познати заплахи, така и от все още некласифицирани опасности. Panda Security се старае да улесни своите клиенти в съответствие с фирмения си девиз: „Една стъпка преди” всеки нов зловреден код (вирус, шпионски код, спам и др.).
Panda Security си сътрудничи със Special Olympics, WWF и Invest for Children, което е част от корпоративната политика на фирмата за социално отговорно поведение.
За допълнителна информация:
Компютел ООД – Официален представител на Panda Security за България
София: 02/ 813 28 11
Пловдив: 032/ 62 16 08
support@antivirus.bg