Gadgetshowto
Bis jetzt sollte sich niemand über Aadhaar-Datenschutzverletzungen wundern, aber ein exklusiver Bericht von ZDNet besagt, dass die Privatsphäre und Sicherheit jedes einzelnen Aadhaar-Karteninhabers in Indien potenziell gefährdet ist. Die größte Sicherheitslücke betrifft zuletzt die umstrittene ID-Datenbank, von der immer wieder nachgewiesen wurde, dass sie für eine größere Sicherheitslücke nach der anderen anfällig ist.
Laut dem jüngsten Bericht über den albtraumhaften Zustand der Aadhaar-Sicherheit hat Karan Saini, ein in Neu-Delhi ansässiger Cyber-Sicherheitsforscher, anscheinend eine Sicherheitslücke entdeckt, die es jedem ermöglicht, auf private Informationen über alle Aadhaar-Inhaber zuzugreifen und deren Namen preiszugeben. Ziffern-ID-Nummern, Informationen zu ihren Bankdaten, den Diensten, mit denen sie verbunden sind, und vieles mehr. Offensichtlich funktionierten die 13-Fuß-Wände nicht.
Die Quelle des Datenlecks ist Berichten zufolge ein nicht genanntes staatliches Versorgungsunternehmen, das eine ungesicherte API verwendet, um auf die Aadhaar-Datenbank zuzugreifen, wodurch die Privatsphäre und Sicherheit nicht nur seiner eigenen Kunden, sondern möglicherweise aller 1,1 Milliarden Aadhaar-Inhaber im Land gefährdet wird.
Laut Saini, "Der Endpunkt der API ... verfügt über keine Zugriffskontrollen. (Und) der betroffene Endpunkt verwendet ein fest codiertes Zugriffstoken, das bei Dekodierung in" INDAADHAARSECURESTATUS "übersetzt wird und es jedem ermöglicht, Aadhaar-Nummern ohne zusätzliche Authentifizierung gegen die Datenbank abzufragen.".
Die API verfügt über keine Geschwindigkeitsbegrenzung, sodass ein Angreifer jede Permutation - möglicherweise Billionen - von Aadhaar-Zahlen durchlaufen und jedes Mal Informationen erhalten kann, wenn ein erfolgreiches Ergebnis erzielt wird
Der Blog behauptet, das indische Konsulat in New York kontaktiert zu haben, um die Enthüllungen von Saini zu besprechen, und sich mit dem Konsul für Handel und Zoll, Devi Prasad Misra, in Verbindung gesetzt zu haben. Trotz der Beantwortung mehrerer Folgefragen in den nächsten Wochen wurde die Sicherheitsanfälligkeit immer noch nicht behoben.
Anfang dieser Woche teilte ZDNet Mishra schließlich mit, dass die Geschichte am Freitag (24. März) veröffentlicht werde, habe aber danach nie mehr von den indischen Behörden gehört. Laut dem Blog besteht das Problem weiterhin, weshalb nicht die genauen Details zu den Sicherheitsanfälligkeiten veröffentlicht wurden, einschließlich des Namens des staatlich ausgeführten Dienstprogramms und der URL des anfälligen API-Endpunkts.
