印度龐大的生物識別身份證數據庫再次遭到黑客攻擊。這次(正如我預測的去年),超過十億印度公民的身份出現在網上出售。印度唯一身份識別機構 (UIDAI) 上週四宣布了最新的黑客攻擊事件。它給圍繞本已備受爭議的 Aadhaar 卡系統的批評帶來了新的活力。
UIDAI 已下令警方調查一名《印度論壇報》記者的具體情況能夠通過 Whatsapp 向某人支付 8 美元以訪問 Aadhaar 數據庫。一旦進入系統,記者就能夠訪問超過 10 億公民的姓名、地址、照片、電話號碼以及其他個人身份數據。
據該機構稱,進入 Aadhaar 系統的網關是通過使用申訴補救搜索設施創建的。儘管洩露規模驚人,UIDAI 已公開向公眾保證 Aadhaar 數據庫仍然安全:
“Aadhaar 數據,包括生物識別信息,是完全安全的。”
令人難以置信的說法
考慮到 Aadhaar 數據庫自推出以來被黑客攻擊的次數,這種說法似乎很荒謬。這次,論壇報記者只需通過 Paytm 支付 500 盧比(約合 8 美元),並等待短短 10 分鐘,就獲得了可用的登錄 ID 和密碼。此後,記者能夠訪問超過 10 億印度公民的 Aadhaar ID 號所附的個人數據。
據《論壇報》記者報導,他只需多花 5 美元就可以購買製作假 Aadhaar 卡所需的軟件。在印度,現在需要這些卡作為身份證明,以便執行日常任務。這些包括納稅、開設銀行賬戶、購買旅行票、入學、獲得抵押貸款、申請和獲得國家福利,甚至在農村地區獲得免費天然氣(使用烏吉瓦拉的福利計劃)。
日益嚴重的問題
自 2009 年成立以來,Aadhaar 數據庫已積累了 12 億印度公民的詳細信息。這些詳細信息包括個人可識別的生物特徵詳細信息,例如指紋和虹膜掃描。幸運的是,據信,這次進入數據庫並沒有授予記者訪問任何生物識別信息的權限。
Jonnala 的父親,be 的聯合創始人互聯網自由基金會,是印度侵入性數據庫的巨大批評者。他站出來表達了對事件規模的難以置信:
“我對這次洩露並不感到驚訝,但我對訪問的廣泛程度感到驚訝。”
印度政府,即印度人民黨,已公開強調 UIDAI 的立場,即數據庫的訪問是由於濫用數據庫造成的。計劃的申訴補救系統。據政府稱,所有有關黑客造成“漏洞”的報導都是“假新聞”。
儘管有這樣的官方聲明,但現實情況是,不受歡迎的人目前正在利用數據庫中的弱點和缺陷來訪問敏感信息。獲取如此多公民的私人詳細信息的能力是一個巨大的風險,這很容易導致身份欺詐。
更重要的是,這並不是 Aadhaar 系統第一次被攻破。去年 7 月,政府機構意外在網上發布了敏感的 Aadhaar 數據。 2017 年初,有關 60 萬印度兒童的敏感 Aadhaar 信息也意外在網上傳播。
管理員控制
令人難以置信的是,這個 Whatsapp 故事曝光的同一天,Aadhaar 系統的另一個嚴重缺陷也被披露。據印度一家二級新聞媒體報導,該漏洞允許任何人獲得數據庫的管理員權限。更糟糕的是,根據該報告,一旦進入系統,“管理員”就可以向其他任何人授予進一步的訪問權限。
兩份報告發布後數小時內,用於訪問 Aadhaar 數據庫的門戶網站 (https://portal.uidai.gov.in/)下降了。根據五人組的報告,不可能說有多少人被授予了管理員權限。然而,根據文章所述,該系統的售價“從 500 盧比到 6,000 盧比不等,甚至可能更高”。
一旦進入系統,未經授權的管理員所需要做的就是“用該國任何人的 Aadhaar 號碼替換 12 位 Aadhaar 號碼”。這樣做可以向未經授權的人提供公民的姓名、父母姓名、電話號碼、完整的郵政地址、電子郵件地址、出生日期、性別、當地語言和照片。
數百萬數據集洩露
儘管該卡於 2009 年首次推出,但直到 2016 年,政府才突然開始齊心協力,讓盡可能多的公民註冊 Aadhaar 卡。當時,Aadhaar(有針對性地提供金融和其他補貼、福利和服務)法案授予 UIDAI 收集和存儲所有印度公民數據的權利。
從那時起,為每個印度公民分配一個唯一的 12 位代碼的 Aadhaar 數據庫一直在以驚人的速度增長。網絡安全專家和隱私倡導團體經常警告說,數據庫很容易受到攻擊。這種數據庫的問題在於它容易被濫用、管理不善和黑客攻擊。可悲的是,自新法案通過以來,證明批評者正確的證據不斷出現。
去年夏天,印度電信公司Reliance Jio,意外在網上洩露了 1.2 億人的數據。九月,Airtel被發現使用 Aadhaar 數據在未經公民授權的情況下自動為公民註冊 Airtel 支付賬戶。據報導,價值 3000 萬美元的 Ujjwala 烹飪燃氣補貼因此被非法轉入這些 Airtel 賬戶。
儘管存在這些洩密、黑客攻擊和濫用的情況,印度政府仍打算繼續推出 Aadhaar 系統。它還打算擴大其用途,包括抓捕福利騙子和犯罪分子。政府計劃通過以下方式實現這一目標整合Aadhaar 負責犯罪和犯罪追踪網絡系統。因此,儘管去年八月判斷印度最高法院 (SCI) 認為隱私是一項基本權利,之前關於 Aadhaar“太大而不能倒”的說法似乎是正確的,Aadhaar 將繼續存在。
意見是作者自己的
標題圖片來源:John Kehly/Shutterstock.com
圖片來源:Zbitnev/Shutterstock.com、Marco Saroldi/Shutterstock.com