Крупнейший в мире банк биометрических данных взломан за $8 и 10 минут
Журналистам удалось получить доступ к системе, где хранятся биометрические данные миллиарда граждан Индии, заплатив за это всего $8 анонимному дилеру в WhatsApp. Также они приобрели ПО для изготовления ID-карт по этим данным. Индийские чиновники утверждают, что доступ к отпечаткам пальцев все же получен не был.
Расследование The Tribune
Издание The Tribune в ходе журналистского расследования смогло получить незаконный доступ к системе биометрических данных Агентства Индии по уникальной идентификации (UIDAI), заплатив за это всего 500 рупий, то есть около $8. Журналистам понадобилось 10 минут, чтобы найти в тайном чате в мессенджере WhatsApp дилера, который продал им логин и пароль для входа на сайт UIDAI, где находятся персональные данные пользователей. За дополнительные 300 рупий, то есть около $5, дилер предоставил софт для изготовления биометрической ID-карты пользователя UIDAI.
Система UIDAI закрепляет за каждым жителем Индии уникальный двенадцатизначный номер под названием Aadhaar. К нему привязаны имена, фамилии, адреса, телефонные номера и банковские данные физических лиц, а также их биометрические параметры — отпечатки пальцев и сканы радужной оболочки глаза. Всего в систему Aadhaar занесено более миллиарда граждан, это самая крупная база биометрических данных в мире. Номер Aadhaar используется при совершении платежей пользователем, при получении им государственных выплат и в других подобных случаях.
Неполный доступ
Исследователи безопасности, изучившие инцидент, полагают, что журналисты The Tribune получили доступ к сайту UIDAI на правах администрирования, а именно — для обработки обращений от пользователей, заметивших опечатку в своем имени или адресе. Администратор имеет право устранить такую опечатку, однако доступа к биометрическим данным при этом не получает.
Таким образом, приобретенные за $8 логин и пароль оказываются бесполезны для фальсификации денежных транзакций, поскольку банки требуют их биометрического подтверждения. Сама UIDAI также утверждает, что доступа к биометрии получено не было, поэтому заключенная в WhatsApp сделка не опасна для системы Aadhaar. Тем не менее, UIDAI пожаловалась на The Tribune в правоохранительные органы за приобретение нелегального доступа к базе.
Однако The Tribune пишет, что представители UIDAI в Чандигархе, с которыми связалось издание, были «шокированы», когда узнали, что приобретенные логин и пароль дают доступ к уникальным двенадцатизначным номерам, именам, адресам, телефонным номерам, адресам электронной почты и фотографиям граждан Индии. Дополнительный генеральный директор регионального центра UIDAI в Чандигархе Санджай Джиндал (Sanjay Jindal) сообщил, что во всем штате Пенджаб только у него самого и у генерального директора центра должен быть логин для доступа к официальному порталу.
Мошенники в WhatsApp
Отследить дилера, действовавшего на условиях анонимности, пока что не удалось. Расследование The Tribune выявило, что анонимная группа в WhatsApp было создано около шести месяцев назад, и тогда же началась мошенническая деятельность участников сообщества, связанная с UIDAI. Злоумышленники предлагают доступ к системе Aadhaar операторам 300 тыс. предприятий сельского уровня, которых наняло Министерство электроники и информационных технологий Индии по программе создания общественных сервисных центров.
Изначально данные предприятия занимались выпуском карт Aadhaar по всей Индии, однако в ноябре 2017 г. эти полномочия были у них отобраны. В целях безопасности сейчас с Aadhaar могут работать только почтовые отделения и избранные банки. С помощью нелегального софта для выпуска карт общественные сервисные центры, которые с ноября простаивают без дела, могут возобновить работу подпольно, и по-прежнему получать деньги от населения, пишет The Tribune. Издание сообщает, что как минимум несколько сервисных центров в данный момент подозреваются в приобретении незаконного доступа к Aadhaar.
Усиление безопасности Aadhaar было вызвано тем, что в мае 2017 г. в различных соцсетях были выложены в общий доступ уникальные двенадцатизначные номера 135 млн граждан Индии. Как выяснила впоследствии полиция, 300 номеров были использованы для незаконного получения от государства пенсионных выплат на общую сумму около $60 тыс.