Teknik

Massiv sårbarhet lämnar uppgifter om alla 1,1 miljarder Aadhaar-innehavare i riskrapport

Massiv sårbarhet lämnar uppgifter om alla 1,1 miljarder Aadhaar-innehavare i riskrapport

Nu bör ingen bli förvånad över Aadhaar-dataintrång, men en exklusiv rapport från ZDNet säger att integriteten och säkerheten för varje Aadhaar-kortinnehavare i Indien potentiellt är hotad. Det största säkerhetsförloppet är det senaste som påverkar den kontroversiella ID-databasen som har bevisats gång på gång att den är benägen för den ena säkerhetsbristen efter den andra.

Enligt den senaste rapporten om det mardrömmande tillståndet i Aadhaar-säkerhet har Karan Saini, en New Delhi-baserad cybersäkerhetsforskare till synes upptäckt en sårbarhet som kan göra det möjligt för alla att få tillgång till privat information om alla Aadhaar-innehavare och avslöja deras namn, unika 12- siffriga ID-nummer, information om deras bankuppgifter, tjänsterna de är anslutna till och mer. Uppenbarligen fungerade de 13 fot långa väggarna inte.

Källan till dataläckage är enligt uppgift ett namnlöst statligt verktygsföretag som använder ett osäkrat API för att komma åt Aadhaar-databasen, vilket äventyrar integriteten och säkerheten för inte bara sina egna kunder utan potentiellt alla 1,1 miljarder Aadhaar-innehavare i landet.

Enligt Saini, “API: s slutpunkt ... har inga åtkomstkontroller på plats, (och) den berörda slutpunkten använder en hårdkodad åtkomsttoken som, när den avkodas, översätts till“ INDAADHAARSECURESTATUS ”, vilket gör att vem som helst kan fråga Aadhaar-nummer mot databasen utan ytterligare autentisering”.

API: t har ingen hastighetsbegränsning på plats, vilket gör att en angripare kan cykla igenom varje permutation - potentiellt biljoner - av Aadhaar-nummer och få information varje gång ett framgångsrikt resultat träffas

Bloggen påstår sig ha kontaktat det indiska konsulatet i New York för att diskutera Sainis uppenbarelser och kommit i kontakt med konsul för handel och tull, Devi Prasad Misra. Trots att svara på flera uppföljningsfrågor under de närmaste veckorna var sårbarheten fortfarande inte fixad.

Slutligen i början av denna vecka säger ZDNet att de informerade Mishra om att berättelsen skulle publiceras på fredagen (24 mars), men aldrig hört tillbaka från de indiska myndigheterna efter det. Enligt bloggen kvarstår problemet, varför det inte publicerade de exakta detaljerna om sårbarheterna, inklusive namnet på det statliga verktyget och URL: en för den sårbara API-slutpunkten.

Sociala media Hur använder jag Key Logger för att få någons lösenord och spionera?
Hur använder jag Key Logger för att få någons lösenord och spionera?
Med Keylogger kan du inte bara spåra vad andra gjorde i systemet utan också vad du gör själv. 1. Ladda ner Key Logger. 2.Keylogger håller reda på all...
Sociala media Varför är Google Adsense inte ansvarigt?
Varför är Google Adsense inte ansvarigt?
Googles 97% intäkter kommer från Annons men Google Adsense ansvar kanske inte verkar tillfredsställande. Även om det inte fanns några brott mot regler...
Hur Hur man installerar engelska Windows 10 på bärbara datorer köpt från Kina
Hur man installerar engelska Windows 10 på bärbara datorer köpt från Kina
Att köpa en bärbar dator i Kina eller från kinesiska e-handelswebbplatser som Alibaba eller Banggood är ganska attraktivt för internationella köpare i...