Сбой безопасности Aadhaar: правительственные веб-страницы предоставляют незащищенный доступ к демографической аутентификации

В другом разоблачении недостатков кибербезопасности Aadhaar более 70 поддоменов на веб-сайте правительства Индии предоставляют доступ к услугам демографической аутентификации, не требуя подтверждения личности от запрашивающего. Веб — сайты позволяют пользователям получать доступ к интерфейсу прикладного программирования или API, в котором любой может ввести номер Aadhaar, имя, пол и дату рождения человека, и быть перенаправленным на страницу, на которой либо написано “да”, либо отображается сообщение об ошибке, указывающее, соответствует ли информация действительной записи в базе данных Aadhaar. Предоставление такого неограниченного доступа к этому API вызывает серьезные опасения в отношении конфиденциальности и может быть использовано хакерами, стремящимися раскрыть номера Aadhaar людей. Это также нарушает Закон Адхаара, закон, регулирующий общенациональную программу цифровой идентификации Индии.

Два исследователя безопасности—Сринивас Кодали и Каран Сайни—независимо обнаружили уязвимость и сообщили о ней соответствующим органам. 10 мая Кодали сообщил об этом в Уникальный идентификационный орган Индии, или UIDAI, который контролирует Aadhaar; Национальный центр защиты критически важной информационной инфраструктуры, или NCIIPC, который защищает компьютерные ресурсы правительства; и Группу реагирования на компьютерные чрезвычайные ситуации, или CERT, офис в министерстве электроники и информационных технологий, который занимается вопросами кибербезопасности. Сайни написал подробный отчет об уязвимости и ее последствиях и отправил его в NCIIPC 11 июня. Два дня спустя он также отправил его в UIDAI, а также в Национальный центр информатики, на котором размещены веб—страницы, на которых отображается API, а также является частью министерства электроники и информационных технологий.

По-видимому, для устранения этой уязвимости было сделано очень мало. NCIIPC почти сразу же ответил Кодали и Сайни, поблагодарив их за их доклады. Кодали написал ответ трем властям 5 июня, сообщив им, что проблема не была устранена. Он так и не получил ответа. NIC ответил Сайни вскоре после того, как он написал, заявив, что команда “работает над решением проблемы” и что “публичное раскрытие проблемы будет препятствовать предпринимаемым усилиям” по ее устранению. По состоянию на девять дней с тех пор, как Сайни получил это электронное письмо, проблема, похоже, не была устранена.

Прошло более 40 дней с момента первого сообщения об API. На момент публикации этой статьи проблема все еще не была устранена. Караван проверил эту уязвимость независимо на двух поддоменах. Эта публикация связалась с каждым из правительственных учреждений, которые были проинформированы исследователями об API, но не получили ответа. Поскольку, по-видимому, не было предпринято никаких эффективных действий, Караван считает своим журналистским долгом сообщить об уязвимости. Из соображений безопасности всех владельцев Aadhaar не публикуются ссылки на веб-страницы с этим API, а также какие-либо дополнительные сведения о том, как можно найти страницы.

Кодали сказал мне, что основная проблема с сайтом, предоставляющим публичный доступ к API, “заключается в том, что у владельца Aadhaar нет контроля”, и “любой может проверить вашу информацию” без вашего согласия. Это нарушает Закон Aadhaar, в котором говорится, что аутентификация Aadhaar должна осуществляться только с согласия соответствующего владельца Aadhaar. Согласно Закону, “Никакая идентификационная информация, доступная запрашивающему лицу”, не может быть раскрыта “кроме как с предварительного согласия лица, к которому относится такая информация”.

Этот API также может помочь хакерам раскрыть номера Aadhaar, особенно те, которые были опубликованы где—то в частично отредактированной форме-практика, которой обычно следуют как государственные, так и частные организации. Если у человека, у которого есть чьи-то основные личные данные, также есть частичный номер Aadhaar для этого человека, он может запрограммировать компьютер на отправку множества запросов в API, пытаясь перечислить все возможные версии 12-значного номера Aadhaar и найти правильный. “Некоторые веб-сайты публикуют замаскированные номера Aadhaar в целях прозрачности, но с помощью API можно было бы разоблачить и подтвердить, кому принадлежит Aadhaar”, — сказал Сайни. Вероятно, потребуется гораздо больше времени, чтобы использовать API, чтобы узнать совершенно неизвестное число Aadhaar, но это также теоретически возможно.

Aadhaar вызывает споры с момента его создания в 2009 году, и критики высказывают различные опасения, в том числе по поводу изоляции, национальной безопасности, конфиденциальности и безопасности данных. Проблемы безопасности данных стали заметными в мае 2017 года, когда Центр Интернета и общества, аналитический центр в Бангалоре, опубликовал отчет, соавтором которого был Кодали, в котором сообщалось, что 130 миллионов номеров Aadhaar и другие конфиденциальные персональные данные были опубликованы на правительственных веб-сайтах. С тех пор стало известно много дополнительных откровений о нарушениях безопасности, связанных с Aadhaar. Например, в январе Рахна Хайра, репортаж для Tribune, обнаружила, что платеж всего в 500 рупий позволил ей войти на портал, который предоставлял доступ к личным данным любого владельца Aadhaar, если она вводила их номер Aadhaar. В марте на технологическом веб—сайте ZDNet была опубликована статья об обнаруженной Сайни уязвимости, в которой веб—приложение Indane-бренда сжиженного газа, принадлежащего Индийской нефтяной корпорации, — позволяло любому пользователю запрашивать неограниченное количество номеров Aadhaar и просматривать имена, банковскую информацию и номера клиентов владельцев Aadhaar. Всего три дня назад Кодали обнаружил аналогичную уязвимость в системе безопасности на правительственном веб-сайте штата Андхра-Прадеш, на котором хранились данные почти 4,5 миллионов человек.

Существование таких разнообразных уязвимостей безопасности в экосистеме Aadhaar делает этот API еще более тревожным. Сайни сказал, что хакер мог бы использовать эту уязвимость API, чтобы найти номер Aadhaar, а затем, если бы существовал другой портал, подобный тому, который обнаружил Хайра, они “могли бы использовать его, чтобы найти практически все о [человеке], связанном с их Aadhaar. Он добавил: “Это может быть связано с другими вещами, которые возможны после знания номера Aadhaar, и, возможно, может привести к мошенничеству”. Во многих отчетах, в том числе в СНГ, высказывались опасения, что обнародование информации, связанной с Aadhaar, облегчает мошенникам кражу личных данных и другие мошенничества.

И у Кодали, и у Сайни были предложения о том, как обеспечить безопасность веб-сайта. Решающим изменением, по словам Кодали, может стать добавление функции OTP. При этом пользователю также придется ввести одноразовый пароль, который будет отправлен на зарегистрированный номер мобильного телефона владельца Aadhaar, чтобы использовать API для проверки достоверности чьих-либо данных Aadhaar. Сайни сказал мне, что сайт также может потребовать от пользователей вводить значение captcha при каждом запросе, предотвращая хакерские атаки, в результате которых компьютерные программы быстро угадывают тысячи возможных чисел Aadhaar. Еще одно важное изменение, о котором упоминали оба, заключалось в том, что сайт использовал HTTPS, зашифрованный протокол, который помогает защитить веб-сайты, вместо менее безопасного протокола HTTP. По словам Сайни, если какой-либо “сетевой ищейка” попытается прочитать трафик веб-сайта, все лица, чьи конфиденциальные данные передавались, “потенциально могут быть скомпрометированы из-за этого”.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *