AUTOR: TYLER DURDEN
Autor: Nick Corbishley via NakedCapitalism.com,
Wygląda na to, że za jednym zamachem około 10% światowej populacji zostało narażonych na szwank niektóre z ich najcenniejszych danych osobowych (PII). Mimo to Aadhaar nadal zbiera pochwały od Doliny Krzemowej.
Anonimowy haker twierdzi, że naruszył cyfrowe numery identyfikacyjne, a także inne wrażliwe dane osobowe około 815 milionów obywateli Indii.
Aby spojrzeć na tę liczbę z innej perspektywy, jest to ponad 60% z 1,3 miliarda Hindusów zapisanych do rządowego programu biometrycznej tożsamości cyfrowej Aadhaar i około 10% całej światowej populacji. Dzięki temu włamaniu – największemu pojedynczemu w historii kraju, według Hindustan Times – dane osobowe setek milionów Hindusów są teraz dostępne do zgarnięcia w ciemnej sieci za jedyne 80 000 dolarów.
Aby zarejestrować się w celu uzyskania karty Aadhaar, mieszkańcy Indii muszą podać podstawowe informacje demograficzne, w tym imię i nazwisko, datę urodzenia, wiek, adres i płeć, a także informacje biometryczne, w tym dziesięć odcisków palców, dwa skany gałek ocznych i zdjęcie twarzy. Wiele z tych danych zostało najwyraźniej naruszonych.
Doniesienia medialne sugerują, że źródłem wycieku były dane testowe Covid-19 Indyjskiej Rady Badań Medycznych (ICMR), które są powiązane z numerem Aadhaar każdej osoby.
Alarm został po raz pierwszy podniesiony przez Resecurity, firmę zajmującą się bezpieczeństwem cybernetycznym z siedzibą w Los Angeles, która 15 października zamieściła następujące informacje w poście na blogu na swojej korporacyjnej stronie internetowej:
9 października cyberprzestępca o pseudonimie "pwn0001" opublikował wątek na Breach Forums, pośrednicząc w dostępie do 815 milionów rekordów "Indian Citizen Aadhaar & Passport". Aby spojrzeć na tę grupę ofiar z innej perspektywy, cała populacja Indii liczy nieco ponad 1,486 miliarda ludzi.
Śledczy HUNTER nawiązali kontakt z cyberprzestępcą i dowiedzieli się, że są gotowi sprzedać cały zestaw danych paszportowych Aadhaar i Indian za 80 000 USD.
Zestaw danych oferowany przez pwn0001 zawiera wiele pól związanych z danymi osobowymi obywateli Indii, w tym między innymi:
– imię
– ojciec Imię
– numer telefonu – inny numer
– numer paszportu – numer
aadhar – wiek
– płeć
– adres
– dzielnica
– kod
PIN – stan...Jedna z próbek, które wyciekły, zawiera 100 000 rekordów danych osobowych (PII) związanych z mieszkańcami Indii. W tym przykładowym wycieku analitycy HUNTER zidentyfikowali ważne identyfikatory kart Aadhaar, które zostały potwierdzone za pośrednictwem portalu rządowego, który zapewnia funkcję "Verify Aadhaar". Ta funkcja pozwala ludziom zweryfikować autentyczność danych uwierzytelniających Aadhaar" – powiedział Resecurity...
Odzyskanie zabezpieczenia... 400 000 rekordów i skontaktował się z wieloma ofiarami w celu zweryfikowania informacji, a także skorzystał z funkcji "Verify Aadhaar" dostępnej za pośrednictwem oficjalnego rządowego zasobu internetowego w Indiach.
Ofiary, z którymi skontaktowały się na podstawie pozyskanego zbioru danych, potwierdziły ważność swoich danych i stwierdziły, że nigdy wcześniej nie zostały powiadomione o [naruszeniu].
Kradzież tożsamości cyfrowej
Wyciek tak bardzo wrażliwych danych osobowych (PII) stwarza znaczne ryzyko kradzieży tożsamości cyfrowej, ostrzega Security Affairs:
Cyberprzestępcy wykorzystują skradzione informacje o tożsamości do kradzieży bankowości internetowej, oszustw związanych ze zwrotem podatku i innych przestępstw finansowych z wykorzystaniem cyberprzestrzeni. Podmioty państwowe polują również na dane Aadhaar w celu szpiegostwa i kampanii wpływu, które wykorzystują szczegółowe informacje na temat populacji indyjskiej. Resecurity zaobserwowało gwałtowny wzrost liczby incydentów związanych z identyfikatorami Aadhaar i ich wyciekiem na podziemne fora cyberprzestępcze przez cyberprzestępców, którzy chcą zaszkodzić obywatelom i mieszkańcom Indii.
Aadhaar (w języku hindi "fundacja") to 12-cyfrowy unikalny numer identyfikacyjny (UID) nadawany przez rząd po potwierdzeniu danych biometrycznych i demograficznych danej osoby. Uruchomiony w 2012 roku w ramach inicjatywy nadania każdemu mieszkańcowi Indii unikalnego numeru identyfikacyjnego, jest to największy system tożsamości cyfrowej na świecie, z 1,3 miliarda UID wydanych do 2021 roku, obejmujących oszałamiające 92% populacji Indii.
Został rzekomo stworzony, aby zapewnić osobom bez identyfikacji formalny dokument tożsamości rządowej, a także rozprawić się z duplikatami, fałszywymi lub skradzionymi dokumentami tożsamości używanymi do korzystania z programów rządowych i programów opieki społecznej.
Szybko wzbudził zainteresowanie i pochwały elit na całym świecie, w tym w Dolinie Krzemowej.
We wpisie z 2019 roku na swoim blogu "Gates Notes" Bill Gates pochwalił Aadhaara za uczynienie "niewidzialnych ludzi Indii widzialnymi". Trzy lata wcześniej, w wykładzie na temat technologii dla transformacji, Gates powiedział, że Aadhaar jest czymś, czego nigdy wcześniej nie zrobił żaden rząd, nawet w bogatym kraju. Twierdził również, że nie stanowi to żadnego zagrożenia dla prywatności; spróbuj powiedzieć to 815 milionom ludzi, których dane osobowe są teraz do zgarnięcia w Dark Webie!
Wraz z Nandanem Nilekanim, jednym ze współzałożycieli indyjskiego giganta technologicznego Infosys, który jest powszechnie uznawany za głównego architekta Aadhaar, Gates odegrał kluczową rolę w eksporcie Aadhaar do innych części tzw. Globalnego Południa, w dużej mierze finansowanego przez Bank Światowy. Dwaj miliarderzy z branży technologicznej podobno pomogli również przekonać rząd Modiego do wejścia na katastrofalną ścieżkę demonetyzacji w celu rozszerzenia alternatyw płatności bezgotówkowych. Uważa się, że demonetyzacja spowodowała 2-procentowy spadek wzrostu PKB Indii w samym sezonie 2016/17 – równowartość 52 miliardów dolarów, według Sunday Guardian.
Nawet dziś Aadhaar nadal otrzymuje pochwały od Doliny Krzemowej, pomimo wszystkich luk w zabezpieczeniach, obaw o prywatność i innych problemów. Worldcoin, kontrowersyjny projekt kryptowalutowy założony przez dyrektora generalnego OpenAI, Sama Altmana, który wykorzystuje "kulę" skanującą wzrok, aby dać użytkownikom unikalną tożsamość cyfrową w celu weryfikacji, czy są ludźmi, powiedział niedawno, że stara się naśladować indyjski system Aadhaar we własnym tworzeniu globalnej tożsamości i sieci finansowej.
Jak na ironię, zarówno Aadhaar, jak i World Coin zostały przedstawione w niedawnym raporcie Moody's Investor Services jako przykłady tego, jak nie należy rozwijać systemu tożsamości cyfrowej. Jak zauważyłem wówczas, nie jest jasne, czy krytyka Moody's była po prostu źle wymierzona w czasie, biorąc pod uwagę tło geopolityczne, czy też stanowiła część szerszej kampanii w anglosferze przeciwko interesom Indii. Rząd Modiego i indyjskie firmy technologiczne desperacko chcą eksportować tak zwany "indyjski stos" – Jan Dhan Yojana, program integracji finansowej; UPI, system płatności natychmiastowych uruchomiony w 2016 r., zaledwie sześć miesięcy przed tym, jak rząd wycofał 84% indyjskich banknotów gotówkowych z obiegu w ramach niesławnej kampanii demonetyzacji; oraz Aadhaar.
Misja Pełzanie na sterydach
Aadhaar został po raz pierwszy wprowadzony jako dobrowolny sposób na poprawę świadczenia usług socjalnych. Ale rząd Modiego szybko rozszerzył jego zakres, czyniąc go obowiązkowym dla programów socjalnych i świadczeń państwowych.
Na tym nie skończyła się misja pełzania. Aadhaar stał się niemal niezbędny, aby uzyskać dostęp do rosnącej listy usług sektora prywatnego, w tym dokumentacji medycznej, kont bankowych i wypłat emerytur. Według Security Affairs to właśnie słabości bezpieczeństwa wielu z tych stron trzecich, w tym przedsiębiorstw użyteczności publicznej, niezależnych dostawców usług, operatorów komórkowych i telekomunikacyjnych oraz usług pożyczkowych i fintech, stoją za wieloma naruszeniami danych.
W planach jest również powiązanie rejestracji wyborców z Aadhaar, pomimo rażących luk w zabezpieczeniach systemu. Oprócz podatności na zagrożenia związane z przechowywaniem danych, indyjski system Aadhaar ma wiele innych wad, jak zauważyłem w mojej książce Scanned:
Po pierwsze, śledzi przemieszczanie się użytkowników między miastami, ich status zatrudnienia i rekordy zakupów. Jest to de facto system kredytu społecznego, który służy jako kluczowy punkt dostępu do usług w Indiach. Podczas gdy system pomógł przyspieszyć i oczyścić indyjską biurokrację, znacznie zwiększył również uprawnienia indyjskiego rządu w zakresie nadzoru i wykluczył ponad 100 milionów ludzi z programów opieki społecznej, a także podstawowych usług.
Organ publiczny odpowiedzialny za Aadhaar, Urząd ds. Unikalnej Identyfikacji Indii (UIDAI), nie skomentował jeszcze ostatniego naruszenia. Ale jeśli przeszła forma jest jakąkolwiek wskazówką, kiedy tak jest, odrzuci wszystkie zarzuty. Do tej pory obalił wszystkie oskarżenia o naruszenie danych, odkąd system Aadhaar został w pełni uruchomiony siedem lat temu, w tym twierdzenia Wikileaks, że CIA może mieć dostęp do bazy danych oraz zarzuty zawarte w raporcie Światowego Forum Ekonomicznego Global Risks Report 2019, że Aadhaar "doznał wielu naruszeń, które potencjalnie naraziły na szwank dane wszystkich 1,1 miliarda zarejestrowanych obywateli".
Biorąc pod uwagę samą liczbę naruszeń, których doświadczył Aadhaar, ten poziom negacjonizmu staje się nie do utrzymania. Nawet Biometric Update, najważniejsza publikacja branżowa dla branży biometrycznej, ostrzega, że Indie "wykrwawiają dane biometryczne". A dane biometryczne są naszymi najcenniejszymi danymi osobowymi. Jeśli zostanie zhakowany, nie ma możliwości cofnięcia szkód. Nie możesz zmienić ani anulować tęczówki ani odcisku palca, tak jak możesz zmienić hasło lub anulować kartę kredytową.
Szanse na zhakowanie tych danych są znaczące, biorąc pod uwagę, jak bardzo zalewa jest większość baz danych, zauważa profesor Sandra Watcher, profesor etyki danych w Oxford Internet Institute:
"Idea naruszenia danych nie jest kwestią czy, ale kiedy. Witamy w Internecie: wszystko można zhakować.
Biorąc pod uwagę samą liczbę i skalę ostatnich naruszeń, "upór indyjskiego rządu, że Aadhaar jest bezpieczny, brzmi pusto" – podsumowuje Biometric Update:
Artykuł w Security Affairs donosi, że na początku tego miesiąca firma Resecurity zajmująca się cyberbezpieczeństwem znalazła setki milionów rekordów zawierających dane osobowe (PII) na sprzedaż w ciemnej sieci. Wśród oferowanych danych znalazły się karty Aadhaar.
Również w październiku na rządowej stronie internetowej wydarzenia ujawniono dane osobowe kandydatów do programu dla młodych filmowców na Międzynarodowym Festiwalu Filmowym w Indiach. The Deccan Herald donosi, że Times of India był w stanie uzyskać dostęp do katalogu nadrzędnego, który zawierał identyfikatory Aadhaar, karty PAN i inne dane osobowe ponad 100 osób, które zgłosiły się za pośrednictwem National Film Development Corporation (NFDC).
Co więcej, jak donosi The Hindu, policyjny nalot na dom publiczny w Bengaluru wykazał, że prostytutki otrzymały fałszywe karty Aadhaar, co skłoniło do wszczęcia śledztwa w sprawie szerszej produkcji fałszywych dokumentów tożsamości, kart wyborczych i innych dokumentów.
I wreszcie, istnieje już rozwiązana sprawa odcisków palców, biometrii odcisków palców, cyfrowych numerów identyfikacyjnych, dokumentów tożsamości, zdjęć i obrazów przesłanych do Aadhaar, które zostały ujawnione przez stronę internetową rządu stanu Bengal Zachodni.
Ten ostatni przypadek jest szczególnie istotny, ponieważ pokazuje, jak kruche mogą być identyfikatory biometryczne, zwłaszcza jeśli chodzi o finanse. W ostatnich latach konsorcjum podmiotów z sektora publicznego i prywatnego, w tym Bank Rezerw Indii, UIDAI, Narodowa Korporacja Płatnicza Indii (NPCI) oraz Instytut Rozwoju i Badań nad Technologią Bankową, opracowało system bankowości bezkartowej o nazwie Aadhaar-enabled Payment System (AePS). Aby skorzystać z usługi, klienci potrzebują tylko nazwy banku, numeru Aadhaar i identyfikatorów biometrycznych zarejestrowanych podczas rejestracji w Aadhaar. Jest to szybkie, łatwe, ale nie jest bezpieczne.
Niedawna sprawa karna w Bengalu ujawniła, że system płatności oparty wyłącznie na biometrii, w którym nie ma kart ani numerów PIN, nie jest bezpieczny, zwłaszcza gdy identyfikatory biometryczne i numery Aadhaar są łatwo dostępne w sieci WWW. Jak zawsze w takich przypadkach, przedsiębiorczy oszuści wyprzedzają władze o ligę. Ze standardu biznesowego:
Najnowsze ostrzeżenie o oszustwie wyszło na jaw po tym, jak policja w Kalkucie odkryła przypadki, w których oszuści kradną dane, w tym odciski kciuków, z rejestrów gruntów ze strony internetowej rządu Bengalu Zachodniego. Dwie osoby zostały podobno aresztowane za udział w oszukańczych transakcjach przy użyciu systemu płatności Aadhaar Enabled Payment System (AePS).
"Oskarżeni opracowali fałszywe odciski palców, które zostały wykorzystane do wypłaty pieniędzy z konta bankowego skarżącego. Przede wszystkim. Stwierdzono, że dane elektroniczne są zbierane z różnych domen publicznych/stron internetowych" – powiedział Indian Express starszy oficer policji w Kalkucie.
Następnie policja w Kalkucie zwróciła się do stanowego Departamentu Finansów o ukrycie danych biometrycznych, w tym odcisków palców i numerów kart Aadhaar pobranych z aktów własności lub innych dokumentów przesłanych na stronę internetową rządu stanowego.
Odpowiedź niektórych banków i organów ścigania jest znamienna: mówią klientom banków, aby zablokowali swoje dane biometryczne w aplikacji m-Aadhaar/portalu UIDAI i zaczęli używać czterocyfrowego kodu PIN do uwierzytelniania płatności i zapobiegania nieautoryzowanemu dostępowi do ich kont bankowych. Powszechnie przyznaje się, że identyfikatory biometryczne same w sobie nie są wystarczająco bezpieczne do celów transakcyjnych. Nie są one również bezpiecznie przechowywane przez podmioty publiczne lub prywatne. Powinno to (ale prawdopodobnie nie będzie) służyć jako przestroga dla wszystkich innych rządów i firm na całym świecie, które chcą wykorzystać moc identyfikatorów biometrycznych i tożsamości cyfrowej.
Brak komentarzy:
Prześlij komentarz