Rambler's Top100
 
Все новости Новости отрасли

Крупнейший в мире банк биометрических данных взломан за $8 и 10 минут

11 января 2018

Издание The Tribune в ходе журналистского расследования смогло получить незаконный доступ к системе биометрических данных Агентства Индии по уникальной идентификации (UIDAI), заплатив за это всего 500 рупий, то есть около $8.

Журналистам понадобилось 10 минут, чтобы найти в тайном чате в мессенджере WhatsApp дилера, который продал им логин и пароль для входа на сайт UIDAI, где находятся персональные данные пользователей. За дополнительные 300 рупий, то есть около $5, дилер предоставил софт для изготовления биометрической ID-карты пользователя UIDAI.

Система UIDAI закрепляет за каждым жителем Индии уникальный двенадцатизначный номер под названием Aadhaar. К нему привязаны имена, фамилии, адреса, телефонные номера и банковские данные физических лиц, а также их биометрические параметры — отпечатки пальцев и сканы радужной оболочки глаза. Всего в систему Aadhaar занесено более миллиарда граждан, это самая крупная база биометрических данных в мире. Номер Aadhaar используется при совершении платежей пользователем, при получении им государственных выплат и в других подобных случаях.

Исследователи безопасности, изучившие инцидент, полагают, что журналисты The Tribune получили доступ к сайту UIDAI на правах администрирования, а именно — для обработки обращений от пользователей, заметивших опечатку в своем имени или адресе. Администратор имеет право устранить такую опечатку, однако доступа к биометрическим данным при этом не получает.

Таким образом, приобретенные за $8 логин и пароль оказываются бесполезны для фальсификации денежных транзакций, поскольку банки требуют их биометрического подтверждения. Сама UIDAI также утверждает, что доступа к биометрии получено не было, поэтому заключенная в WhatsApp сделка не опасна для системы Aadhaar. Тем не менее, UIDAI пожаловалась на The Tribune в правоохранительные органы за приобретение нелегального доступа к базе.

Однако The Tribune пишет, что представители UIDAI в Чандигархе, с которыми связалось издание, были «шокированы», когда узнали, что приобретенные логин и пароль дают доступ к уникальным двенадцатизначным номерам, именам, адресам, телефонным номерам, адресам электронной почты и фотографиям граждан Индии. Дополнительный генеральный директор регионального центра UIDAI в Чандигархе Санджай Джиндал (Sanjay Jindal) сообщил, что во всем штате Пенджаб только у него самого и у генерального директора центра должен быть логин для доступа к официальному порталу.

Отследить дилера, действовавшего на условиях анонимности, пока что не удалось. Расследование The Tribune выявило, что анонимная группа в WhatsApp было создано около шести месяцев назад, и тогда же началась мошенническая деятельность участников сообщества, связанная с UIDAI. Злоумышленники предлагают доступ к системе Aadhaar операторам 300 тыс. предприятий сельского уровня, которых наняло Министерство электроники и информационных технологий Индии по программе создания общественных сервисных центров.

Изначально данные предприятия занимались выпуском карт Aadhaar по всей Индии, однако в ноябре 2017 г. эти полномочия были у них отобраны. В целях безопасности сейчас с Aadhaar могут работать только почтовые отделения и избранные банки. С помощью нелегального софта для выпуска карт общественные сервисные центры, которые с ноября простаивают без дела, могут возобновить работу подпольно, и по-прежнему получать деньги от населения, пишет The Tribune. Издание сообщает, что как минимум несколько сервисных центров в данный момент подозреваются в приобретении незаконного доступа к Aadhaar.

Усиление безопасности Aadhaar было вызвано тем, что в мае 2017 г. в различных соцсетях были выложены в общий доступ уникальные двенадцатизначные номера 135 млн граждан Индии. Как выяснила впоследствии полиция, 300 номеров были использованы для незаконного получения от государства пенсионных выплат на общую сумму около $60 тыс.

Источник: CNews

Поделиться:
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!

Оставить свой комментарий:

Для комментирования необходимо авторизоваться!

Комментарии по материалу

Данный материал еще не комментировался.