11 Января, 2018

Доступ к индийской национальной базе данных с персональной информацией 1,2 миллиардов человек был продан за $8

Владимир Безмалый

В 2010 году Индия начала создание централизованной правительственной базы данных Aadhaar. В базе содержатся такие персональные данные, как имена, адреса, даты рождения, мобильные телефоны и т.д. Кроме того, в базу вносились биометрические данные (проводилось сканирование 10 отпечатков пальцев и радужки глаз) всех 1,3 миллиарда граждан.

Занесение своих данных в Aadhaar не обязательно, однако правительство Индии принуждает граждан подписываться на эту программу, привязывая участие в ней к доступу к субсидиям, банковским сервисам, услугам сотовых операторов и медицинской страховке. Такие компании, как Uber, Airbnb, Microsoft и Amazon интегрируют Aadhaar со своими продуктами.

Местная индийская газета «Tribune», опубликовала отчет, в котором утверждается, что ее репортеры заплатили 500 рупий (приблизительно 8 долларов США) человеку, назвавшемуся Anil Kumar, с которым они связались через WhatsApp. Kumar предоставил им аккаунт (логин и пароль), под которым репортеры получили доступ к информации почти 1.2 миллиарда индийцев, участвующих в Aadhaar.

Региональные сотрудники, работающие в Unique Identification Authority of India (UIDAI), правительственным агентством, ответственным за Aadhaar, сообщили Tribune, что доступ был «незаконным» и «серьезным нарушением национальной безопасности».

Индийский новостной сайт Quint опубликовал в четверг другой отчет показывающий, что любой пользователь может создать учетную запись администратора, позволяющую ему получить доступ к базе данных Aadhaar.

Через несколько часов после публикации статьи агентство UIDAI заявило, что не признает отчет Tribune и «данные Aadhaar, включая биометрическую информацию, полностью безопасны». Агентство утверждает, что газета неправильно использовала механизм поиска базы данных, доступный только правительственным чиновникам.

Журналисты из издания BuzzFeed смогли обнаружить Anil Kumar, который заявил, что он предоставил доступ к базе данных Aadhaar для семи других людей, кроме репортера Tribune, на прошлой неделе за 500 рупий. Однако, по его словам, он не знал, что компрометирует персональные данные и нарушает закон. «Я заплатил 6 000 рупий (приблизительно $95) анонимному человеку в группе WhatsApp, чтобы он создал мне учетную запись администратора Aadhaar», — сказал Kumar. «Мне сказали, что я смогу создавать столько аккаунтов для доступа к базе данных, сколько захочу. Но я продавал аккаунты только, чтобы вернуть свои деньги».

 

На самом деле стоит понимать, что чем больше данных (и уж тем более биометрических данных) буду храниться в одном месте, тем более оно привлекательно для взломщиков. А значит, тем тщательно должны отрабатываться вопросы безопасности. Увы, стоит признать, что создать абсолютно непробиваемую защиту невозможно.