หลังจาก Paytm แฮ็กเกอร์ศาลเตี้ยรายนี้กำลังหลบเลี่ยงความปลอดภัยของ Aadhaar ของ UIDAI

เผยแพร่แล้ว: 2018-03-14

URL ของเอกสาร Aadhaar ที่แชร์โดยแฮ็กเกอร์ที่เป็นของเว็บไซต์ Panchayat Raj, Andhra Pradesh Government

แรงบันดาลใจจากซีรีย์ทางด้านความปลอดภัยทางไซเบอร์ที่ได้รับรางวัลยอดนิยมของอเมริกา คำพูดของ Elliot Alderson ตัวเอกของ Mr. Robot ในเรื่องความปลอดภัยทางไซเบอร์ "แมลงไม่เคยเป็นแค่ความผิดพลาด มันแสดงถึงสิ่งที่ใหญ่กว่า ข้อผิดพลาดในการคิดที่ทำให้คุณเป็นตัวของตัวเอง” แฮ็กเกอร์นิรนามได้ตำหนิการรักษาความปลอดภัย Aadhaar ของ UIDAI ด้วยการเผยแพร่ลิงก์เว็บไซต์ที่มีข้อมูล Aadhaar นับพัน

แฮ็กเกอร์ยังโพสต์วิดีโออธิบายว่า “วิธีเลี่ยงผ่านการป้องกันรหัสผ่านของแอปอย่างเป็นทางการ #Aadhaar #android #app ใน 1 นาที”

Twitterati เคยวิพากษ์วิจารณ์ Paytm ก่อนหน้านี้ว่าขอให้เข้าถึงรากของโทรศัพท์มือถือจากผู้ใช้ Paytm ซึ่ง บริษัท หยุดในภายหลัง การเข้าถึงรูทเป็นหนึ่งในจุดเริ่มต้นที่สำคัญที่สุดสำหรับอุปกรณ์ Android ที่สามารถจัดการระบบปฏิบัติการของโทรศัพท์ได้

อย่างที่เอลเลียตใน Mr. Robot พูดไว้ว่า "ฉันต้องการกอบกู้โลก" แฮ็กเกอร์ศาลเตี้ย Elliot ในการป้องกันของเขาทวีตว่า "ฉันอยากจะพูดอะไรซักอย่าง ฉันไม่ได้ต่อต้าน #Aadhaar ฉันไม่ชอบ Aadhaar ฉันแค่คิดว่าโครงการขนาดนี้สมควรได้รับความปลอดภัยสูงสุด”

ในช่วงหลายเดือนที่ผ่านมา รายงานการสืบสวนของสื่อจำนวนหนึ่งได้เปิดเผยขอบเขตของช่องโหว่ของ Aadhaar อย่างไรก็ตาม UIDAI แทนที่จะยอมรับจุดอ่อน เริ่มคุกคามผู้คนที่รายงานการรั่วไหลของ Aadhaar

ในการตอบสนองต่อการละเมิด UIDAI ได้หลีกเลี่ยง "ข้อมูล Aadhaar มีความปลอดภัยอย่างสมบูรณ์และไม่มีการรั่วไหลของข้อมูลหรือการละเมิดที่ UIDAI"

มันได้กล่าวเพิ่มเติมว่า “หมายเลข Aadhaar ที่เปิดเผยต่อสาธารณะบนเว็บไซต์ดังกล่าวไม่ก่อให้เกิดภัยคุกคามต่อผู้คนอย่างแท้จริง เนื่องจากข้อมูลไบโอเมตริกซ์จะไม่ถูกแบ่งปัน และปลอดภัยอย่างเต็มที่ด้วยการเข้ารหัสสูงสุดที่ UIDAI และการแสดงข้อมูลประชากรเท่านั้น ไม่สามารถใช้ในทางที่ผิดได้ โดยไม่มีไบโอเมตริกซ์”

อย่างไรก็ตาม นักวิจัยด้านความปลอดภัยของฝรั่งเศสที่ประกาศตัวเองโดยใช้นามแฝง Elliot Alderson ได้เผยแพร่ URL บนโปรไฟล์ Twitter ของเขา/เธอ ซึ่งรวมถึงข้อมูลไบโอเมตริกของผู้คนด้วย

paytm-vigilante-hacker-now-dodging-ill-famed-aadhaar-security-uidai

ภายในไม่กี่ชั่วโมง URL จะกลายเป็นโมฆะ อย่างไรก็ตาม Inc42 สามารถตรวจสอบการเข้าถึงข้อมูล Aadhaar ขนาดใหญ่ได้โดยใช้แคชของเว็บก่อนที่จะเริ่มแสดงข้อมูลต้องห้าม

URL ที่แฮ็กเกอร์แบ่งปันนั้นเป็นของเว็บไซต์ Panchayat Raj ในรัฐอานธรประเทศ

แนะนำสำหรับคุณ:

Metaverse จะพลิกโฉมอุตสาหกรรมยานยนต์อินเดียได้อย่างไร
ทรัพยากร

Metaverse จะพลิกโฉมอุตสาหกรรมยานยนต์อินเดียได้อย่างไร

บทบัญญัติต่อต้านการแสวงหากำไรสำหรับสตาร์ทอัพในอินเดียมีความหมายอย่างไร?
ทรัพยากร

บทบัญญัติต่อต้านการแสวงหากำไรสำหรับสตาร์ทอัพในอินเดียมีความหมายอย่างไร?

วิธีที่ Edtech Startups ช่วยเพิ่มทักษะและทำให้พนักงานพร้อมสำหรับอนาคต
ทรัพยากร

Edtech Startups ช่วยให้แรงงานอินเดียเพิ่มพูนทักษะและเตรียมพร้อมสู่อนาคตได้อย่างไร...

ข่าว

หุ้นเทคโนโลยียุคใหม่ในสัปดาห์นี้: ปัญหาของ Zomato ยังคงดำเนินต่อไป, EaseMyTrip Posts Stro...

สตาร์ทอัพอินเดียใช้ทางลัดในการไล่ล่าหาทุน
คุณสมบัติ

สตาร์ทอัพอินเดียใช้ทางลัดในการไล่ล่าหาทุน

Logicserve Digital สตาร์ทอัพด้านการตลาดดิจิทัลรายงานว่าได้ระดมทุน INR 80 Cr จากบริษัทจัดการสินทรัพย์อื่น Florintree Advisors
ข่าว

แพลตฟอร์มการตลาดดิจิทัล Logicserve ระดมทุน INR 80 Cr รีแบรนด์เป็น LS Dig...

อย่างไรก็ตาม UIDAI ในชุดทวีตได้โต้แย้งการอ้างสิทธิ์เหล่านี้แล้ว มันกลับกลายเป็นว่า “UIDAI ได้เพิกเฉยต่อรายงานดังกล่าวว่าไม่มีความรับผิดชอบ ซึ่งปรากฏอยู่ในส่วนหนึ่งของโซเชียลมีเดียและสื่ออื่น ๆ เกี่ยวกับความปลอดภัยของระบบ Aadhaar ที่ถูกสอบปากคำเกี่ยวกับการ์ด Aadhaar สองสามใบที่รายงานบนอินเทอร์เน็ตโดยองค์ประกอบที่ไร้ยางอายบางอย่าง”

องค์กรแม่ของ Aadhaar กล่าวเพิ่มเติมว่า “Aadhaar เช่นเดียวกับเอกสารระบุตัวตนอื่น ๆ จึงไม่ถือว่าเป็นเอกสารลับ”

นี่เป็นครั้งแรกที่เอกสารที่มีข้อมูล Aadhaar ทั้งหมดของคนหลายพันคนรวมถึงรายละเอียดไบโอเมตริกซ์สามารถเข้าถึงได้ง่าย

ในช่วงแรกของการละเมิด UIDAI ได้หลีกเลี่ยง “การควบคุมความปลอดภัยและโปรโตคอลที่มีอยู่นั้นแข็งแกร่งและสามารถตอบโต้ความพยายามดังกล่าวหรือการออกแบบที่เป็นอันตรายของการละเมิดข้อมูลหรือการแฮ็คข้อมูล”

อดีตนายจ้างของ CIA/ผู้เชี่ยวชาญด้านคอมพิวเตอร์ของอเมริกาตอนนี้กลายเป็นผู้ถือธงที่ประกาศตัวเองว่าเป็นเสรีภาพของสื่อ Edward Snowden รอง KC Verma อดีตหัวหน้า RAW ของอินเดีย “แทบจะไม่เคยทำอดีตหัวหน้า Intel และฉันเห็นด้วย แต่หัวหน้า RAW ของอินเดียเขียน #Aadhaar กำลังถูกใช้ในทางที่ผิดโดยธนาคาร ผู้ให้บริการโทรคมนาคม และการขนส่งไม่ใช่เพื่อสิทธิของตำรวจ แต่เป็นเสมือนตัวแทนสำหรับการระบุตัวตน ซึ่งเป็นประตูสู่การบริการที่ไม่เหมาะสม ข้อเรียกร้องดังกล่าวจะต้องถูกลงโทษทางอาญา”

เขายังกล่าวอีกว่า “เป็นแนวโน้มตามธรรมชาติของรัฐบาลที่ต้องการบันทึกชีวิตส่วนตัวที่สมบูรณ์แบบ ประวัติศาสตร์แสดงให้เห็นว่าไม่ว่ากฎหมายจะเป็นอย่างไร ผลลัพธ์ก็คือการล่วงละเมิด”

ในเดือนมกราคมของปีนี้ The Tribune ได้รายงานว่ากลุ่มที่ไม่ปรากฏชื่อบางกลุ่มขายข้อมูล Aadhaar ที่มีผู้คนมากกว่าหนึ่งพันล้านคนในราคาเพียง 7.88 ดอลลาร์ (500 รูปีอินเดีย)

ลิงก์ที่แชร์โดยกลุ่มที่ไม่ปรากฏชื่อเหล่านี้บน WhatsApp ให้รายละเอียดการเข้าสู่ระบบและรหัสผ่านเพื่อเข้าถึงรายละเอียดที่จำเป็นทั้งหมดของชาวอินเดียหนึ่งพันล้านคน หนึ่งเพียงแค่ต้องป้อนหมายเลข Aadhaar และปัง! มันแสดงให้เห็นรายละเอียดที่เหลือ รายงานอ้างสิทธิ์

หลังจากจ่ายเพิ่ม 4.73 ดอลลาร์ กลุ่มยังแชร์ซอฟต์แวร์ Aadhaar ทั้งหมด ซึ่งต้องพิมพ์รายละเอียด Aadhaar ของตัวเอง

นอกจากนี้ India Today และ The Quint ในรายงานการสอบสวนที่แยกออกมาพบว่า หน่วยงานสำคัญๆ ของ Aadhaar มีส่วนเกี่ยวข้องอย่างแข็งขันในฐานข้อมูลการซื้อขายสำหรับการใช้งานระดับมืออาชีพ เช่น การเสนอขาย เป็นต้น

ดังนั้นคำถามใหญ่คือ: ผ่านภายใต้ Money Bill ซึ่ง Aadhaar Aadhaar กำลังมุ่งหน้าไปโดยไม่มีกฎหมายพื้นฐานเกี่ยวกับความเป็นส่วนตัวและการปกป้องข้อมูลของผู้คน?

เพื่อบรรเทาความโกลาหลรอบ ๆ ความปลอดภัยของรายละเอียดของ Aadhaar ของพลเมือง UIDAI ยังได้ประกาศแผนการที่จะแนะนำมาตรการอื่น – การจดจำใบหน้าของ Aadhaar การย้ายจะมีผลบังคับใช้ตั้งแต่วันที่ 1 กรกฎาคม 2018

ในศาลฎีกา คณะผู้พิพากษาห้าคนนำโดย CJI กำลังรับฟังคดี Aadhaar ในแต่ละวัน ในขณะที่ศาลได้ขยายวันครบกำหนดของการเชื่อมโยง Aadhaar อย่างไม่มีกำหนดแล้ว ยังคงต้องจับตาดูว่าการละเมิดดังกล่าวโดยแฮ็กเกอร์ Alderson จะถูกใช้โดยผู้ยื่นคำร้องต่อ Aadhaar หรือไม่