Gadgetshowto
Nyní by nikdo neměl být překvapen narušením dat Aadhaarem, ale exkluzivní zpráva ZDNet říká, že soukromí a bezpečnost každého držitele karty Aadhaar v Indii je potenciálně ohroženo. Hlavní bezpečnostní chyba je nejnovější, která ovlivňuje kontroverzní databázi ID, která se opakovaně prokazuje jako náchylná k jedné hlavní bezpečnostní chybě za druhou.
Podle nejnovější zprávy o děsivém stavu bezpečnosti Aadhaar, Karan Saini, výzkumník v oblasti kybernetické bezpečnosti v Dillí, zjevně objevil zranitelnost, která může komukoli umožnit přístup k soukromým informacím o všech držitelích Aadhaarů, odhalením jejich jmen, jedinečných 12- číslice identifikačních čísel, informace o jejich bankovních údajích, službách, ke kterým jsou připojeni, a další. Je zřejmé, že 13 stop dlouhé stěny nefungovaly.
Zdrojem úniku dat je údajně nejmenovaná státní energetická společnost, která pro přístup k databázi Aadhaar používá nezabezpečené API, což ohrožuje soukromí a bezpečnost nejen jejích vlastních zákazníků, ale potenciálně všech 1,1 miliardy držitelů Aadhaar v zemi.
Podle Saini, „Koncový bod API ... nemá zavedené žádné řízení přístupu (a) ovlivněný koncový bod používá napevno přístupový token, který se při dekódování překládá na„ INDAADHAARSECURESTATUS “, což umožňuje komukoli dotazovat čísla Aadhaar proti databázi bez jakéhokoli dalšího ověřování.
API nemá zavedené žádné omezení rychlosti, což umožňuje útočníkovi procházet každou permutací - potenciálně biliony - Aadhaarových čísel a získávat informace pokaždé, když je zasažen úspěšný výsledek
Blog tvrdí, že kontaktoval indický konzulát v New Yorku, aby diskutoval o zjeveních Sainiho, a navázal kontakt s konzulem pro obchod a zvyky Devi Prasad Misra. Navzdory zodpovězení několika následných otázek během příštích několika týdnů však chyba zabezpečení stále nebyla opravena.
A konečně na začátku tohoto týdne ZDNet říká, že informoval Mishru, že příběh bude zveřejněn v pátek (24. března), poté se však již indickým úřadům neozval. Podle blogu problém stále přetrvává, a proto nezveřejnil přesné podrobnosti o chybách zabezpečení, včetně názvu obslužného programu stavu a adresy URL zranitelného koncového bodu API.
