漏洞概要

缺陷编号:
暂无

漏洞标题:
印度通用身份识别系统Aadhar存在严重缺陷

提交时间:
2018-07-03 09:35

危害等级:

相关厂商:

漏洞分类:
安全事件

关注度:
共 19 人关注

漏洞详情

印度通用身份识别系统Aadhar存在严重缺陷-E安全

当印度政府开始计划发布强制性的全国通用身份识别和相应的数字支付系统时,他们想法是,技术将成为提供服务的有效工具,同时也是遏制猖獗腐败的灵丹妙药。

印度政府希望将提供粮食和其他资源,包括支付转移的任务交由一个高效的系统来完成,试图在减轻大量贫困农村人口所面临的压力方面取得更大进展。

然而,批评人士认为,Aadhar系统不仅没有在提供福利或遏制腐败起到帮助作用,而且还将大量的个人数据暴露给了不法商家,并导致了大规模的安全隐患。

技术成为了一种负担

经济学家Reetika
Khera一直都是该计划的尖锐批评者。在《纽约时报》的社论中,她曾指出,身份验证的过程必须使用手持设备来读取指纹,并且需要可靠的电力供应来通过互联网访问服务器。这在印度的部分地区,尤其是北部地区,仍然是无法保障的。如果在身份验证所涉及的众多步骤中,有任何一个步骤失败,那么申请人就会被拒绝领取食物。就这一点而言,和以前并没有什么区别。

另外,Khera还指出,与过去相比,现在受益人必须亲自到现场,而不是像过去那样,可以委托亲戚或者邻居领取,这意味着老年人和体弱多病者将会是受影响最严重的群体。在某些情况下,受益人很可能会因为无法亲自到达现场在系统中进行身份验证,而无法领取到食物,最终饿死。

Khera说,她和几位经济学家一起对印度北部的一个贫穷邦——贾坎德邦的900户家庭进行了一次调查,其结果令他们感到惊讶。对比强制和不强制使用Aadhar系统的村庄,他们发现,强制使用Aadhar系统的村庄购买粮食的失败率(20%)是不强制使用Aadhar系统的村庄(4%)的5倍。

另外,Khera说,并没有证据表明Aadhaar在遏制腐败方面起到了作用。根据Khera和她的同事们的统计,在印度农村并不存在大规模发放福利的人冒用他人身份领取食物的情况。

脆弱的个人数据安全

另一个严重的问题涉及到数据安全。在去年11月份,印度唯一身份识别管理局(UIDAI)宣称:“Aadhaar数据绝对安全,并且在UIDAI不存在数据泄露或数据破坏。”

然而,印度《论坛报(The
Tribune)》透露称,当他们向一位在WhatsApp做广告宣传的匿名卖家支付了微不足道的8美元之后,他们获得了对超过10亿个Aadhar账户的访问权限。此外,Tribune的记者还提供了一个“网关”及登录名和密码,能够进入任何一个Aadhar账户,并获得了所有者的详细信息,如姓名、住址、邮政编码(PIN)、照片、电话号码和电子邮箱地址。

正如外媒ZDNet在几个月前所报道的那样,有关Aadhar的数据泄露并不是什么新鲜事。一个由国有公用事业公司Indane运营的系统中曾发生了一起大规模的黑客入侵事件,该公司收集的所有用于支付账单的Aadhar信息全都遭到了泄露。

更糟糕的是,印度政府的UIDAI部门所做的第一件事竟然是强烈否认存在任何入侵,这是该部门对于此类事件的典型回应。该部门通过Twitter发表声明:“在这个故事中没有任何事实,因为UIDAI的Aadhaar数据库绝对没有遭到入侵,Aadhaar仍然安全可靠。”然后,该部门花了长达几个星期的时间来修复这个漏洞。

印度政府正在将Aadhar号码与各种事务联系起来,即使是类似于电话通信或婚姻登记这样的最基本的事情——这似乎并不是一项符合其宪法的命令。再加上其强硬的态度以及无法保障数据安全的事实,印度公民正面临着在未来数字道路上的灾难性后果。

发表评论

电子邮件地址不会被公开。 必填项已用*标注