Государственная база данных 1,2 миллиарда граждан Индии утекла в сеть
NoNaMe Club
В 2010 году Индия начала сбор личных данных 1,3 миллиарда своих граждан, в централизованную правительственную базу данных под названием Aadhaar. В нее добавляют имена, адреса, даты рождения, фото, номера телефонов, а также биометрические данные: отпечатки всех 10 пальцев и скан радужной оболочки глаз. В среду, данные из этой базы были слиты в сеть.
The Tribune, местная индийская газета, опубликовала отчет, в котором утверждали, что их репортеры заплатили 500 рупий (приблизительно 8 долларов США) человеку, назвавшегося Анил Кумар (Anil Kumar), с которым они связались через WhatsApp и получили доступ к этой базе данных. Кумар смог создать привилегированного пользователя, и получить доступ к информации почти 1,2 миллиарда Индийцев, которые приняли участие в программе Aadhaar. Сотрудники Агентства Индии по уникальной идентификации (UIDAI), правительственное агентство, управляющее данной системой, сообщили Tribune, что доступ к базе был «незаконным» и «серьезным нарушением национальной безопасности».
Второй отчет, опубликованный в четверг Quint, индийским новостным сайтом, показал, что любой пользователь может создать учетную запись привилегированного пользователя, который позволяет получить доступ к базе данных Aadhaar если их пригласит действующий администратор.
Участие в Aadhaar не является обязательным, но в течение нескольких месяцев правительство Индии принуждает своих граждан подписываться на программу, чтобы получить доступ к основным государственным услугам, таким как субсидии на питание, банковские счета, номера сотовых телефонов и медицинскую страховку. Критики программы предупреждают, что эта программа способна стать средством абсолютного шпионажа, нарушая право граждан на конфиденциальность. Последствия таких опасных систем ничуть не остановили индийские компании и гиганты Силиконовой долины, как Uber, Airbnb , Microsoft и Amazon от интеграции своих сервисов с этой базой идентификации пользователей.
Через несколько часов после публикации Tribune, Премьер Индии Нарендра Моди заявил, что эта новость фейк.
В заявлении, предоставленном BuzzFeed News, UIDAI заявила, что «отрицает» утечку и считает отчет Tribune выдумкой, а «данные Aadhaar, включая биометрическую информацию, находяться в полной безопасны». Агентство утверждало, что газета не могла получить доступ к базе, так как доступ есть только у правительственных чиновников и сказали, что будут подавать судебные иски против лиц, ответственных за несанкционированный доступ.
BuzzFeed News нашли Кумара, который сказал, что его имя - это псевдоним, и что он предоставил доступ к базе данных Aadhaar еще семи людям на прошлой неделе за 500 рупий. Он утверждал, что не знал, что он компрометирует неприкосновенность частной жизни и нарушает закон, когда он это сделал. «Я заплатил 6000 рупий (приблизительно $ 95) анонимному пользователю в группе WhatsApp, который сообщил инструкции, как создать имя пользователя и пароль для базы данных Aadhaar», - сказал он. «Мне сказали, что я мог бы создать столь угодно много пользователей для доступа к базе данных. Я их продал, чтобы вернуть свои 6000 рупий назад».
Критики программы возмущены слабой системой безопасности. «Мы некоторое время назад предупреждали, что имеется проблема единого доступа в дизайне сервера Aadhaar» - говорит Мегнад С (Meghnad S), представитель SpeakForMe.in, онлайн-движения, которое позволяет индийцам отправлять электронные письма членам парламента, банку, мобильному перевозчику и другим в знак протеста против программы Aadhaar.
Мегнад говорит, что Закон Aadhaar, который регулирует программу, налагает штрафы за незаконный доступ, но никак не препятствует взлому. «Правительство так спешило внедрить систему, что забыло позаботиться про высокий уровень сохранности данных пользователей, что в свою очередь позволило теневым продавцам использовать эти данные для обогащения».
Специалист по информационной безопасности Трой Хант рассказал BuzzFeed News, что любые крупные хранилища персональных данных, такие как Aadhaar, всегда представляют угрозу для частной жизни граждан, и привел пример человека, который продавал доступ к страховой системе Medicare Австралии в прошлом году.
«Правительству Индии необходимо провести оценку утекших данных от несанкционированного доступа сторонними людьми, и выработать стратегию по защите пострадавших от утечки пользователей», - сказал Хант.
Это не первый случай, когда данные Aadhaar попали в открытый доступ. В ноябре 2017 года более 200 индийских правительственных веб-сайтов случайно раскрыли демографические данные неизвестного числа Индийцев. В тот раз UIDAI выпустил пресс-релиз с заголовком: «Aadhaar data is never breached or leaked».