UIDAI กล่าวว่ารายงานเกี่ยวกับการแฮ็กซอฟต์แวร์ Aadhaar นั้น 'ไม่ถูกต้อง' และ 'ไม่รับผิดชอบ'

เผยแพร่แล้ว: 2018-09-12

รายงานพบว่าซอฟต์แวร์ราคาเพียง $35 (2,500 รูปีอินเดีย) อนุญาตให้บุคคลที่ไม่ได้รับอนุญาตสร้างหมายเลข Aadhaar ได้ตามต้องการ

UIDAI อ้างว่าไบโอเมตริกที่บันทึกไว้ทั้งหมดของบุคคล - 10 ลายนิ้วมือและสองม่านตา - ตรงกับที่อยู่ในระบบและตรวจสอบก่อนที่จะออกหมายเลขประจำตัว 12 หลัก

UIDAI อ้างว่าได้ใช้มาตรการป้องกันรวมถึงการจัดหาซอฟต์แวร์มาตรฐานที่เข้ารหัสข้อมูลทั้งหมดก่อนที่จะบันทึกลงในดิสก์ใด ๆ

แม้ว่าศาลฎีกาจะตรวจสอบความถูกต้องตามรัฐธรรมนูญของพระราชบัญญัติ Aadhaar ระบบเอกลักษณ์เฉพาะตัวที่บันทึกข้อมูลของชาวอินเดียกว่า 1 พันล้านคนยังคงเสี่ยงต่อการละเมิดความปลอดภัย
เมื่อเร็ว ๆ นี้ รายงานพบว่าฐานข้อมูล Aadhaar อาจถูกบุกรุกด้วยซอฟต์แวร์แพตช์ราคาถูกที่มีราคาเพียง $35 (2,500 INR) ซึ่งปิดใช้งานคุณสมบัติความปลอดภัยที่สำคัญที่ใช้ในการลงทะเบียนผู้ใช้ใหม่ อย่างไรก็ตาม Unique Identification Authority of India (UIDAI) ได้ปฏิเสธรายงานดังกล่าวว่า "ไม่ถูกต้องและขาดความรับผิดชอบ" และกล่าวว่าไม่มีผู้ปฏิบัติงานใดสามารถสร้างหรืออัปเดตรายการ Aadhaar ได้ เว้นแต่บุคคลจะให้รายละเอียดไบโอเมตริกซ์ของตน
HuffPost India ในรายงานลงวันที่ 11 กันยายน อ้างว่า “แพตช์นี้ - เปิดให้ใช้งานฟรีในราคาเพียง $35 (2,500 รูปีอินเดีย) - อนุญาตให้ บุคคลที่ไม่ได้รับอนุญาตซึ่งอยู่ที่ใดก็ได้ในโลก สร้างหมายเลข Aadhaar ได้ตามต้องการ และยังแพร่หลายอยู่” ใช้."
รายงานเสริมว่าแพตช์นี้ข้ามฟีเจอร์ความปลอดภัยที่สำคัญ เช่น การตรวจสอบไบโอเมตริกซ์ของผู้ดำเนินการลงทะเบียน และฟีเจอร์ความปลอดภัย GPS ในตัวของซอฟต์แวร์การลงทะเบียนเพื่อสร้างหมายเลข Aadhaar ที่ไม่ได้รับอนุญาต แพทช์ที่ถูกกล่าวหาว่าลดความไวของ ระบบการรู้จำม่านตาของซอฟต์แวร์การลงทะเบียน ทำให้ง่ายต่อการปลอมแปลงซอฟต์แวร์ด้วยรูปถ่ายของผู้ปฏิบัติงานที่ลงทะเบียน แทนที่จะต้องให้เจ้าหน้าที่แสดงตัวด้วยตนเอง
ต่อจากนี้ UIDAI ในชุดทวีตกล่าวว่าการอ้างว่ารายการสามารถนำเข้าสู่ฐานข้อมูล Aadhaar นั้นไม่มีมูลโดยสมบูรณ์ เนื่องจากไบโอเมตริกทั้งหมดของบุคคล — 10 ลายนิ้วมือและสองม่านตา — ถูกเปรียบเทียบกับที่มีอยู่แล้วในระบบและผ่านการตรวจสอบ ก่อนออกหมายเลขประจำตัว 12 หลักที่ไม่ซ้ำกัน
โดยระบุว่า ไบโอเมตริกและพารามิเตอร์อื่นๆ ของผู้ปฏิบัติงานได้รับการตรวจสอบก่อนการลงทะเบียน หรืออัปเดต และหลังจากการตรวจสอบทั้งหมดสำเร็จแล้วจึงจะดำเนินการต่อไป
นอกจากนี้ UIDAI ยังอ้างว่าได้ใช้มาตรการป้องกัน ซึ่งรวมถึงการจัดหาซอฟต์แวร์มาตรฐานที่เข้ารหัสข้อมูลทั้งหมดแม้กระทั่งก่อนบันทึกลงในดิสก์ใดๆ ก็ตาม ปกป้องข้อมูลโดยใช้การป้องกันการงัดแงะ ระบุผู้ปฏิบัติงานทุกคนในการลงทะเบียน "ทุกราย" และระบุทุกคน ของเครื่องหลายพันเครื่องโดยใช้กระบวนการลงทะเบียนเครื่องที่ไม่เหมือนใคร ซึ่งทำให้มั่นใจได้ว่าทุกแพ็กเก็ตที่เข้ารหัสจะถูกติดตาม
“แม้ในสถานการณ์สมมติที่โดยความพยายามบิดเบือน พารามิเตอร์ที่จำเป็น เช่น ไบโอเมตริกของผู้ปฏิบัติงานหรือไบโอเมตริกของผู้อยู่อาศัยจะไม่ถูกบันทึก เบลอ และแพ็กเก็ตการลงทะเบียน/อัปเดตผีดังกล่าวจะถูกส่งไปยัง UIDAI สิ่งเดียวกันนี้จะถูกระบุโดยระบบแบ็กเอนด์ที่แข็งแกร่งของ UIDAI และ แพ็กเก็ตการลงทะเบียนดังกล่าวทั้งหมดจะถูกปฏิเสธ และไม่มีการสร้าง Aadhaar นอกจากนี้ เครื่องลงทะเบียนที่เกี่ยวข้องและผู้ปฏิบัติงานจะถูกระบุ บล็อก และขึ้นบัญชีดำอย่างถาวรจากระบบ UIDAI ในกรณีที่เหมาะสม จะมีการยื่นเรื่องร้องเรียนจากตำรวจสำหรับความพยายามฉ้อโกงดังกล่าว” UIDAI กล่าว
มันเสริมว่า ข้อกล่าวหาที่คล้ายกันเกิดขึ้นต่อหน้าศาลฎีกา (SC) เมื่อศาลรัฐธรรมนูญได้ยินคดี Aadhaar และ UIDAI ตอบโต้พวกเขาในเวลานั้น

SC เริ่มการพิจารณาคดีครั้งสุดท้ายเพื่อความถูกต้องตามรัฐธรรมนูญของพระราชบัญญัติ Aadhaar ในเดือนมกราคม ต่อมาในเดือนมีนาคม 2018 ผู้พิพากษาทั้งห้าของ SC ได้ขอให้ UIDAI เตรียมการนำเสนอ powerpoint เพื่อระบุช่องโหว่ในพระราชบัญญัติ Aadhaar 2016 และที่อยู่ ความวิตกเกี่ยวกับความปลอดภัยของข้อมูลที่รวบรวมโดย UIDAI

Ajay Bhushan Pandey ซีอีโอของ UIDAI นำเสนอต่อศาลฎีกา อธิบายว่า ข้อมูลส่วนบุคคลทั้งหมดที่จัดเก็บโดย Aadhaar นั้นได้รับการเข้ารหัส และไม่สามารถแฮ็ก ได้ เขากล่าวต่อไปว่า "จะต้องใช้เวลามากกว่าอายุของจักรวาลในการทำลายการเข้ารหัสเพียงครั้งเดียว"

UIDAI ยังกล่าวอีกว่าผู้ปฏิบัติงานพบว่าละเมิดขั้นตอนการลงทะเบียนและอัปเดตที่เข้มงวด หรือการหมกมุ่นกับการฉ้อโกงหรือการทุจริตจะถูกบล็อกและขึ้นบัญชีดำและเรียกเก็บโดยมีบทลงโทษทางการเงินสูงถึง 1 แสนรูปีต่อครั้ง
“เป็นเพราะระบบที่เข้มงวดและแข็งแกร่งนี้ ซึ่ง ณ วันที่มีผู้ดำเนินการมากกว่า 50,000 รายถูกขึ้นบัญชีดำ” UIDAI กล่าวเสริม
การพัฒนาเกิดขึ้นในช่วงเวลาที่รายงานระบุว่า ข้อมูลส่วนตัว — ชื่อ หมายเลข PAN หมายเลขประจำตัวทหาร — ของจำนวนทหารที่ไม่เปิดเผย รั่วไหล และพบว่าเปิดเผยต่อสาธารณะบนเว็บไซต์ของ สำนักงานบัญชีและเงินเดือนของกระทรวงกลาโหม ตั้งอยู่ทั่วประเทศ

ก่อนหน้านี้ UIDAI ได้กำหนดให้ใช้การจดจำใบหน้าสำหรับบริการ ต่างๆ เช่น การออกซิมมือถือ บริการธนาคาร ระบบแจกจ่ายสาธารณะ และการทำเครื่องหมายการเข้างานในสำนักงานของรัฐบาล

แนะนำสำหรับคุณ:

วิธีที่กรอบงานผู้รวบรวมบัญชีของ RBI ถูกตั้งค่าให้เปลี่ยน Fintech ในอินเดีย
ทรัพยากร

วิธีการตั้งค่ากรอบงานผู้รวบรวมบัญชีของ RBI เพื่อเปลี่ยน Fintech ในอินเดีย

ผู้ประกอบการไม่สามารถสร้างการเริ่มต้นที่ยั่งยืนและปรับขนาดได้ผ่าน 'Jugaad': CitiusTech CEO
ข่าว

ผู้ประกอบการไม่สามารถสร้างการเริ่มต้นที่ยั่งยืนและปรับขนาดได้ผ่าน 'Jugaad': Cit...

Metaverse จะพลิกโฉมอุตสาหกรรมยานยนต์อินเดียได้อย่างไร
ทรัพยากร

Metaverse จะพลิกโฉมอุตสาหกรรมยานยนต์อินเดียได้อย่างไร

บทบัญญัติต่อต้านการแสวงหากำไรสำหรับสตาร์ทอัพในอินเดียมีความหมายอย่างไร?
ทรัพยากร

บทบัญญัติต่อต้านการแสวงหากำไรสำหรับสตาร์ทอัพในอินเดียมีความหมายอย่างไร?

วิธีที่ Edtech Startups ช่วยเพิ่มทักษะและทำให้พนักงานพร้อมสำหรับอนาคต
ทรัพยากร

Edtech Startups ช่วยให้แรงงานอินเดียเพิ่มพูนทักษะและเตรียมพร้อมสู่อนาคตได้อย่างไร...

ข่าว

หุ้นเทคโนโลยียุคใหม่ในสัปดาห์นี้: ปัญหาของ Zomato ยังคงดำเนินต่อไป, EaseMyTrip Posts Stro...

ในเวลาเดียวกัน ศาลสูงในเดลีจะรับฟังคำร้องเรียก ค่าเสียหาย จากหน่วยงานที่กล่าวหาว่าไม่ปฏิบัติ ตามมาตรการรักษาความปลอดภัยที่เพียงพอ ซึ่งนำไปสู่การรั่วไหลของข้อมูล Aadhaar ที่เป็นประเด็นถกเถียง

คำตัดสินของศาลฎีกาในคดีที่ท้าทายความถูกต้องตามรัฐธรรมนูญของ Aadhaar ก็คาดว่าจะเกิดขึ้นในไม่ช้าเช่นกัน