Масштабный слив персональных данных из крупнейшей в мире цифровой биометрической ID системе - индийской Aadhaar

Источник: NAKEDCAPITALISM.COM

Автор: Ник Корбишли (Nick Corbishley)

Одним махом почти у 10% населения планеты, по-видимому, была слита часть важной личной информации (PII). Тем не менее, Aadhaar продолжает получать одобрение из Кремниевой долины.

Анонимный хакер утверждает, что смог заполучить цифровые идентификационные номера, а также другие конфиденциальные личные данные примерно у 815 млн граждан Индии.

Это более 60% всех жителей Индии, зарегистрированных в правительственной программе биометрической цифровой идентификации Aadhaar, и около 10 % всего населения планеты. После крупнейшего в истории Индии взлома, по данным HindustanTimes, личные данные сотен млн. индийцев теперь доступны в темной сети всего за $80 тыс.

Чтобы получить карту Aadhaar, жители Индии должны предоставить стандартный набор демографических данных, включая имя, дату рождения, возраст, адрес и пол, а также биометрические данные, в том числе отпечатки десяти пальцев, два сканера глазной сетчатки и фотографию лица. Большая часть этих данных, по всей видимости, была взломана.

Согласно сообщениям СМИ, источником утечки стали данные теста на Covid-19 Индийского совета медицинских исследований (ICMR), привязанные к номеру Aadhaar каждого человека.

Первой тревогу забила компания Resecurity, занимающаяся кибербезопасностью в Лос-Анджелесе. Компания 15 октября разместила в блоге на своем корпоративном сайте следующее сообщение:

«9 октября некий злоумышленник под псевдонимом «pwn0001» опубликовал на BreachForums сообщение с предложением получить доступ к 815 млн. записей «Aadhaar» с паспортными данными граждан Индии». Для сравнения: население Индии составляет чуть более 1,486 млрд. человек.

Следователи HUNTER установили контакт со злоумышленниками и узнали, что они готовы продать весь набор данных Aadhaar и индийских паспортов за $80 тыс.

Набор данных, предлагаемый pwn0001, содержит множество данных, связанных с PII граждан Индии, включая, помимо прочего, следующее:

- имя

- отчество

- номер телефона
- другой номер

- номер паспорта

- номер aadhar

- возраст

- пол

- адрес

- район

- пинкод

- штат...

Один из образцов утечки содержит 100 тыс. записей с персональными данными (PII) жителей Индии. В данном образце утечки аналитики HUNTER идентифицировали действительные идентификаторы карт Aadhaar. Они смогли их подтвердить через правительственный портал, позволяющий «проверить Aadhaar». Данная функция даёт возможность проверять подлинность учетных данных Aadhaar», - сообщили в Resecurity…

Resecurity получила... 400 тыс. записей и связалась с несколькими жертвами для проверки информации. Также Resecurity воспользовалась функцией «Verify Aadhaar», доступной через официальный правительственный WEB-ресурс в Индии.

Опрошенные жертвы подтвердили достоверность своих данных и заявили, что их никогда ранее не уведомляли о [взломе].

Кража цифровых личных данных

Утечка столь конфиденциальной личной информации (PII) создает значительный риск кражи цифровых данных, предупреждает Security Affairs:

Злоумышленники используют украденные идентификационные данные, чтобы взламывать онлайн-банки, с целью мошенничества с возвратом налогов и для других финансовых преступлений, используя кибератаки. Представители других государств также охотятся за данными Aadhaar с целью шпионажа и проведения кампаний влияния, используя подробную информацию о населении Индии. Компания Resecurity отметила всплеск инцидентов, связанных с идентификаторами Aadhaar и их утечкой на неофициальных киберпреступных форумах. Злоумышленники таким образом стремятся навредить гражданам Индии.

Aadhaar (в переводе с хинди – «основа») - это 12-значный уникальный идентификационный номер (UID), выдаваемый правительством после подтверждения биометрических и демографических данных человека. Данная система была запущена в 2012 году в рамках инициативы по присвоению каждому жителю Индии уникального идентификационного номера. Это крупнейшая система цифровой идентификации на планете. К 2021 году было выдано 1,3 млрд. UID (92% населения Индии).

Целью его создания было предоставление людям, не имеющим удостоверения личности, официального государственного удостоверения личности. Также ставилась цель искоренить дубликаты, поддельные и украденные удостоверения, используемые для получения выгоды от государственных программ и программ социального обеспечения.

Данная система быстро вызвала интерес и одобрение во всём мире, в том числе в Кремниевой долине.

В 2019 году в своем блоге «Заметки Гейтса» Билл Гейтс (Bill Gates) похвалил Aadhaar за то, что он «вывел людей из тени». Тремя годами ранее, выступая с лекцией «Технологии трансформации», Билл Гейтс сказал, что ни в одной стране ничего подобного никогда ранее не делалось. Он также утверждал, что нет никакого риска для конфиденциальности; попробуйте сказать это 815 млн человек, чьи личные данные сейчас выставлены на продажу в Темной паутине!

Вместе с Нанданом Нилекани (Nandan Nilekani), одним из основателей индийского технологического гиганта Infosys, известным в качестве главного архитектора Aadhaar, Гейтс сыграл ключевую роль в распространении Aadhaar на другие регионы так называемого Глобального Юга, большая часть которого финансируется за счёт Всемирного банка. Два технологических миллиардера также помогли убедить правительство Моди (Narendra Modi) встать на пагубный путь демонетизации, чтобы расширить альтернативные варианты безналичных платежей. Считается, что только в 2016/17 году демонетизация привела к снижению роста ВВП Индии на 2%, что эквивалентно $52 млрд., по данным Sunday Guardian.

Даже сегодня Aadhaar продолжает получать одобрительные отзывы из Кремниевой долины, несмотря на все недостатки системы безопасности, проблемы с конфиденциальностью и другие проблемы. Worldcoin, спорный криптовалютный проект, созданный генеральным директором OpenAI Сэмом Альтманом (Sam Altman), в котором для проверки уникальной цифровой идентификации используется «шар» для сканирования глаз, недавно заявил, что при создании глобальной идентификационной и финансовой сети он ориентируется на индийскую систему Aadhaar.

По иронии судьбы, и Aadhaar, и WorldCoin фигурировали в недавнем отчете агентства Moody's Investor Services как примеры плохих систем цифровой идентификации. Как я тогда отметил, непонятно, была ли критика Moody's просто неудачным выбором времени, учитывая геополитическую обстановку, или это часть более широкой кампании, направленной против Индии. Правительство Моди и индийские технологические компании отчаянно стремятся экспортировать так называемый «индийский стек» — Jan Dhan Yojana, программа расширения доступа к финансовым услугам; UPI - система мгновенных платежей, запущенная в 2016 году, всего за полгода до того, как правительство вывело из обращения 84% индийских денежных купюр в ходе своей печально известной кампании по демонетизации, и Aadhaar.

Ползучая миссия на стероидах

В первый раз Aadhaar позиционировали как добровольный способ улучшить предоставление социальных услуг. Но правительство Моди быстро расширило сферу его применения, сделав его обязательным для программ социального обеспечения и государственных пособий.

На этом миссия не закончилась. Без Aadhaar стало практически невозможно получить доступ к растущему списку услуг частного сектора, включая медицинские карты, банковские счета и пенсионные выплаты. По мнению SecurityAffairs, именно слабые места систем безопасности коммунальных компаний, независимых поставщиков услуг, операторов мобильной и телекоммуникационной связи, а также кредитных и финтех-сервисов стали причиной утечек данных.

Планируется также сделать привязку регистрации избирателей к Aadhaar, несмотря на вопиющие недостатки системы безопасности. Кроме уязвимости хранилища данных, у индийской системы Aadhaar множество других недостатков, о которых я писал в своей книге Отсканировано:

Прежде всего, система следит за перемещениями пользователей между городами, хранит их статус занятости и данные о покупках. Это де-факто система социального кредитования -  ключевое основание для получения доступа к услугам в Индии. Несмотря на то, что данная система снизила уровень бюрократии в Индии, она также значительно расширила полномочия индийского правительства по отслеживанию. Более 100 млн человек было исключено из программ социального обеспечения и основных услуг.

Государственное учреждение, отвечающее за Aadhaar, Управление уникальной идентификации Индии (UIDAI), пока никак не прокомментировало последнее нарушение. Но по прошлому опыту оно будет отрицать все обвинения. До сих пор UIDAI опровергало все обвинения в утечке данных с тех пор, как 7 лет назад система Aadhaar заработала в полную силу. В том числе было отвергнуто заявление Wikileaks о том, что ЦРУ может иметь доступ к базе данных, и выдержки из доклада Всемирного экономического форума «Глобальные риски 2019» о том, что система Aadhaar «была подвергнута многочисленным утечкам, потенциально поставившим под угрозу данные 1,1 млрд зарегистрированных граждан».

Учитывая количество нарушений в отношении Aadhaar, такой уровень отрицания становится несостоятельным. Даже Biometric Update, важнейшее отраслевое издание по биометрии, предупредило, что в Индии «огромная утечка биометрических данных». А биометрические данные - самая ценная личная информация. Если она взломана, то ущерб предотвратить невозможно. Нельзя поменять отпечатки пальцев или радужную оболочку глаза. Это не пароль от кредитной карты.

Вероятность взлома этих данных очень велика, учитывая простоту большинства баз данных, отмечает Сандра Уотчер (Sandra Watcher), профессор этики данных в Оксфордском интернет-институте:

«Утечка данных - это не вопрос если, а вопрос когда. Добро пожаловать в интернет: все можно взломать.

Учитывая количество и масштабы недавних взломов, «настойчивые заверения индийского правительства в безопасности Aadhaar звучат неубедительно», - заключает Biometric Update:

В статье, опубликованной Security Affairs, сообщается, что в начале этого месяца компания Resecurity, специализирующаяся на кибербезопасности, обнаружила сотни млн записей, содержащих персональную информацию (PII). Эти данные были выставлены на продажу в темной паутине. Среди предлагаемых данных были и биометрические данные Aadhaar.

Также личные данные претендентов на участие в программе для молодых кинематографистов на Международном кинофестивале Индии в октябре были опубликованы на правительственном веб-сайте, посвященном данному мероприятию. По сообщению газеты DeccanHerald, издание TimesofIndia получило доступ к родительскому каталогу, содержащему идентификаторы Aadhaar, PAN-карты и другие PII более 100 человек, подавших заявки через Национальную корпорацию развития кино (NFDC).

Кроме того, как сообщает TheHindu, в ходе полицейского рейда в бордель в Бенгалуру выяснилось, что секс-работникам выдавались поддельные карты Aadhaar, что послужило поводом для расследования более широкого производства поддельных государственных удостоверений личности, карт избирателей и других документов.

И, наконец, уже раскрыт случай, когда отпечатки пальцев, цифровые идентификационные номера, документы, удостоверяющие личность, фотографии и изображения, хранившиеся в Aadhaar, были обнародованы на сайте правительства Западной Бенгалии.

Последний случай особенно показателен, т.к. он демонстрирует, насколько хрупкими могут быть биометрические идентификаторы, особенно когда речь идет о финансах. В последние годы консорциумом игроков государственного и частного секторов, включая Резервный банк Индии, UIDAI, Национальную платежную корпорацию Индии (NPCI) и Институт развития и исследований в области банковских технологий, была разработана система бескарточного банковского обслуживания Aadhaar-enabled Payment System, или AePS. Чтобы воспользоваться данной услугой, клиенту достаточно указать название банка, номер Aadhaar и биометрические идентификаторы, полученные при регистрации в Aadhaar. Это просто и удобно, но не безопасно.

Недавнее уголовное дело в Бенгалии показало, что платежная система с чисто биометрической поддержкой без использования карты и PIN-кода, небезопасна, особенно когда рассматриваемые биометрические идентификаторы и номера Aadhaar можно получить в Интернете. Как всегда, в таких случаях, предприимчивые мошенники опережают власти. Из Business Standard:

О последнем случае мошенничества стало известно после того, как полиция Калькутты обнаружила случаи кражи мошенниками данных, включая отпечатки пальцев, из земельных кадастров с сайта правительства Западной Бенгалии. Сообщается, что два человека были арестованы за участие в мошеннических операциях с использованием платежной системы с поддержкой Aadhaar (AePS).

«Обвиняемые изготовили поддельные отпечатки пальцев, которые в дальнейшем были использованы для снятия денег с банковского счета заявителя. Было установлено, что электронные данные были собраны с различных общественных доменов/веб-сайтов,» - сообщил Indian Express старший офицер полиции Калькутты.

Впоследствии полиция Калькутты обратилась в Департамент финансов штата с просьбой скрыть биометрические данные, включая отпечатки пальцев, и номера карт Aadhaar, извлеченные из свидетельств о собственности или любых других документов, загруженных на сайт регистрации собственности правительства штата.

Реакция некоторых банков и правоохранительных органов показательна: они советуют клиентам банков заблокировать свои биометрические данные в приложении m-Aadhaar на портале UIDAI и начать использовать четырехзначный пин-код для аутентификации платежей и предотвращения несанкционированного доступа к своим банковским счетам. Это открытое признание того, что биометрические идентификаторы сами по себе недостаточно безопасны для транзакций. Государственные и частные организации также не могут обеспечить их безопасное хранение. Это должно послужить (но скорее всего не послужит) предостережением для всех других правительств и компаний по всему миру, стремящихся использовать возможности биометрических идентификаторов и цифровой идентификации.