UIDAI 表示有關 Aadhaar 軟件黑客的報導是“不正確的”和“不負責任的”

已發表: 2018-09-12

有報導稱，一款售價僅為 35 美元（2,500 印度盧比）的軟件允許未經授權的人隨意生成 Aadhaar 號碼

UIDAI聲稱一個人的所有記錄的生物特徵——10個指紋和兩個虹膜——都與系統中的相匹配，並在頒發12位身份號碼之前進行驗證

UIDAI 聲稱已採取保護措施，包括提供標準化軟件，在將所有數據保存到任何磁盤之前對其進行加密

即使在最高法院審查 Aadhaar 法案的憲法有效性時，記錄超過 10 億印度人數據的獨特身份系統仍然容易受到安全漏洞的影響。

最近，有報導稱，Aadhaar 數據庫可能會受到價格低至 35 美元（2500 印度盧比）的廉價軟件補丁的影響，該補丁會禁用用於註冊新用戶的關鍵安全功能。然而，印度唯一身份識別機構 (UIDAI) 認為這些報告“完全不正確和不負責任”，並表示除非個人提供他/她的生物特徵詳細信息，否則任何運營商都無法製作或更新 Aadhaar 條目。

赫芬頓郵報印度公司在 9 月 11 日的一份報告中聲稱，“該補丁免費提供，價格低至 35 美元左右（2500 印度盧比），允許世界任何地方的未經授權的人隨意生成 Aadhaar 號碼，並且仍在廣泛傳播。利用。”

該報告補充說，該補丁繞過了關鍵的安全功能，例如註冊操作員的生物特徵認證和註冊軟件的內置 GPS 安全功能，以生成未經授權的 Aadhaar 號碼。據稱，該補丁降低了註冊軟件虹膜識別系統的敏感性，使得使用註冊操作員的照片更容易欺騙軟件，而不是要求操作員親自到場。

在此之後，UIDAI 在一系列推文中表示，可以將條目引入 Aadhaar 數據庫的說法完全沒有根據，因為一個人的所有生物特徵——10 個指紋和兩個虹膜——都與系統中已有的進行了比較並得到了驗證在頒發唯一的 12 位身份號碼之前。

它說，在註冊或更新之前檢查操作員的生物特徵和其他參數，只有在所有檢查都成功後，才能進一步處理。

此外， UIDAI 聲稱已採取保護措施，包括提供標準化軟件，在將所有數據保存到任何磁盤之前對其進行加密，使用防篡改保護數據，識別“每個”註冊中的每個操作員，並識別每個數千台機器使用獨特的機器註冊過程，確保跟踪每個加密數據包。

“即使在假設的情況下，通過一些操縱嘗試，諸如操作員的生物特徵或居民的生物特徵等基本參數沒有被捕獲、模糊，並且這樣的幽靈註冊/更新數據包被發送到 UIDAI，同樣由強大的後端系統識別UIDAI，所有此類註冊數據包都會被拒絕，並且不會生成 Aadhaar。 此外，相關的註冊機器和操作員會被 UIDAI 系統識別、阻止和永久列入黑名單。在適當的情況下，警方也會對此類欺詐企圖提出投訴，”UIDAI 說。

它補充說，當憲法法庭審理 Aadhaar 案時，最高法院（SC）也提出了類似的指控， UIDAI 當時對這些指控做出了回應。

SC 於 1 月開始對 Aadhaar 法案的憲法有效性進行最後聽證會，隨後於 2018 年 3 月，SC 的五名法官席要求 UIDAI 準備一份幻燈片演示文稿，以確定 2016 年 Aadhaar 法案中的漏洞並解決與 UIDAI 收集的數據的安全性有關的疑慮。

UIDAI 首席執行官 Ajay Bhushan Pandey 在最高法院出庭時解釋說， Aadhaar 存儲的所有個人數據都是加密的，無法被黑客入侵。他繼續聲稱“破解一個加密需要超過宇宙的年齡。”

UIDAI 還表示，運營商發現違反其嚴格的註冊和更新流程或沉迷於欺詐或腐敗行為的行為將被阻止並列入黑名單，並處以每例高達 10 萬印度盧比的罰款。

UIDAI 補充說：“正是由於這個嚴格而強大的系統，迄今為止，已有超過 50,000 家運營商被列入黑名單。”

這一事態發展之際，有報導稱，未公開數量的士兵的個人數據——姓名、PAN號碼、軍人身份證號碼——已被洩露，並被發現可在國防部支付和賬戶辦公室的網站上公開獲得分佈於全國各地。

早些時候，UIDAI要求將面部識別用於移動 SIM 卡的發行、銀行服務、公共分配系統發放以及政府辦公室的辦公室考勤標記等服務。