一名安全研究人员表示,印度政府网站正在暴露印度农民的 Aadhaar 数量,可能达到数百万人。
Atul Nair 告诉 TechCrunch,他发现 Pradhan Mantri Kisan Samman Nidhi 网站的一部分揭示了农民的信息。众所周知,PM-Kisan 是印度政府的一项举措,旨在为印度的每一位农民提供基本的经济收入。
但奈尔表示,该倡议网站的一部分正在返回农民的 Aadhaar 号码,农民必须提供这些号码才能获得国家收入。
Aadhaar 号码是分配给每个印度国民的 12 位机密号码,作为该国国家身份数据库的一部分。在将指纹和视网膜扫描提交到中央数据库后,Aadhaar 被用作公民的身份证明,并且通常是访问州政府服务所必需的,例如福利援助和投票。 Aadhaar 号码还用于开设银行账户、租用 Airbnb、与 Uber 一起开车以及为其他在线服务提供验证。 Aadhaar 号码并非严格保密,但其处理方式与美国社会保障号码或英国国民保险号码类似。
Nair 提供了 PM-Kisan 网站公开的一小部分暴露的农民信息和相应的 Aadhaar 号码样本,TechCrunch 通过使用 PM-Kisan 自己网站上的工具将暴露的数据与每个农民的信息进行匹配来验证其真实性。
他警告说,恶意攻击者可以通过编写脚本轻松收集农民的信息。根据 PM-Kisan 的网站(该网站似乎只能从印度境内访问),自 2019 年该倡议启动以来,已有超过 1.1 亿农民注册。
Nair 在 1 月份向印度国家计算机应急响应小组(称为 CERT-In)报告了安全漏洞,并在 5 月下旬修复了该漏洞。奈尔还在一篇博文中发表了他的报告。
在 PM-Kisan 的网站上列出了联系信息的 Ranjna Nagpal 没有回复在发布前发送的要求发表评论的电子邮件。
数据泄露并非违反 Aadhaar 监管机构 UIDAI 运营的中央数据库,而是困扰有争议的国家身份数据库的最新安全漏洞,该数据库受到总理纳伦德拉·莫迪政府的坚决捍卫。
2017 年,一份报告发现,仅有少数几个网站暴露了超过 1.3 亿个 Aadhaar 号码和相关银行数据。 TechCrunch 还报告了涉及大量Aadhaar 数字的几次失误。 2018 年,记者发现 Aadhaar 数据由出售数据库访问权限的个人出售。
阅读有关 TechCrunch 的更多信息:
- 印度考虑上诉小组有权推翻 Facebook、Twitter 和 YouTube 内容审核决定
- 印度表示不愿遵守新规则的VPN公司“将不得不退出”
- 在企业垃圾邮件猖獗之后,谷歌在印度禁用了 RCS 广告
- 在网上引起轩然大波后,印度撤回对生物识别 ID 共享的警告
- 印度州政府泄露了数千个 Aadhaar 号码
原文: https://techcrunch.com/2022/06/13/aadhaar-leak-pm-kisan/