Gadgetshowto
På nuværende tidspunkt bør ingen være overraskede over Aadhaar-databrud, men en eksklusiv rapport fra ZDNet siger, at privatlivets fred og sikkerhed for hver enkelt Aadhaar-kortholder i Indien potentielt er truet. Den største sikkerheds bortfald er den seneste, der påvirker den kontroversielle ID-database, der igen og igen er bevist at være tilbøjelig til den ene store sikkerhedsfejl efter den anden.
Ifølge den seneste rapport om den mareridtsrige tilstand af Aadhaar-sikkerhed har Karan Saini, en New Delhi-baseret cybersikkerhedsforsker tilsyneladende opdaget en sårbarhed, der kan give alle adgang til private oplysninger om alle Aadhaar-indehavere og afsløre deres navne, unikke 12- cifre ID-numre, oplysninger om deres bankoplysninger, de tjenester, de er forbundet med, og mere. Det var klart, at de 13 fods vægge ikke virkede.
Kilden til datalækagen er angiveligt et unavngivet, statsdrevet hjælpefirma, der bruger en usikret API til at få adgang til Aadhaar-databasen, hvilket truer privatlivets fred og sikkerhed ikke kun for sine egne kunder, men potentielt alle 1,1 milliarder Aadhaar-indehavere i landet..
Ifølge Saini, “API'ets slutpunkt ... har ingen adgangskontrol på plads, (og) det berørte slutpunkt bruger et hårdtkodet adgangstoken, som, når det afkodes, oversættes til" INDAADHAARSECURESTATUS, "der tillader nogen at spørge Aadhaar-numre mod databasen uden yderligere godkendelse".
API'en har ingen hastighedsbegrænsning på plads, så en angriber kan cykle gennem enhver permutation - potentielt billioner - af Aadhaar-numre og få information hver gang et vellykket resultat bliver ramt
Bloggen hævder at have kontaktet det indiske konsulat i New York for at drøfte Sainis åbenbaringer og kom i kontakt med konsul for handel og told, Devi Prasad Misra. På trods af at besvare flere opfølgningsspørgsmål i løbet af de næste par uger var sårbarheden dog stadig ikke løst.
Endelig i starten af denne uge siger ZDNet, at det meddelte Mishra, at historien ville blive offentliggjort fredag (24. marts), men aldrig hørt tilbage fra de indiske myndigheder efter det. Ifølge bloggen fortsætter problemet stadig, hvorfor det ikke offentliggjorde de nøjagtige detaljer om sårbarhederne, herunder navnet på det statsdrevne værktøj og URL'en til det sårbare API-slutpunkt.
