Gadgetshowto
A estas alturas, nadie debería sorprenderse por las violaciones de datos de Aadhaar, pero un informe exclusivo de ZDNet dice que la privacidad y seguridad de cada titular de la tarjeta Aadhaar en India está potencialmente amenazada. El mayor error de seguridad es el último en afectar la controvertida base de datos de identificación que se ha demostrado una y otra vez que es propensa a una falla de seguridad importante tras otra..
Según el último informe sobre el estado de pesadilla de la seguridad de Aadhaar, Karan Saini, un investigador de seguridad cibernética con sede en Nueva Delhi, aparentemente ha descubierto una vulnerabilidad que puede permitir que cualquiera acceda a información privada sobre todos los titulares de Aadhaar, exponiendo sus nombres, únicos 12- números de identificación de dígitos, información sobre sus datos bancarios, los servicios a los que están conectados y más. Claramente, las paredes de 13 pies no funcionaron.
Según los informes, la fuente de la fuga de datos es una empresa de servicios públicos sin nombre, que utiliza una API no segura para acceder a la base de datos de Aadhaar, lo que pone en peligro la privacidad y la seguridad no solo de sus propios clientes, sino potencialmente de todos los 1.100 millones de titulares de Aadhaar en el país..
Según Saini, "El punto final de la API ... no tiene controles de acceso, (y) el punto final afectado usa un token de acceso codificado que, cuando se decodifica, se traduce como" INDAADHAARSECURESTATUS ", lo que permite que cualquiera pueda consultar números de Aadhaar en la base de datos sin ninguna autenticación adicional".
La API no tiene ningún límite de velocidad, lo que permite a un atacante recorrer cada permutación (potencialmente trillones) de números de Aadhaar y obtener información cada vez que se obtiene un resultado exitoso.
El blog afirma haber contactado con el Consulado de India en Nueva York para discutir las revelaciones de Saini, y se puso en contacto con el cónsul de comercio y aduanas, Devi Prasad Misra. Sin embargo, a pesar de responder varias preguntas de seguimiento durante las próximas dos semanas, la vulnerabilidad aún no se solucionó..
Finalmente, al comienzo de esta semana, ZDNet dice que le informó a Mishra que la historia se publicaría el viernes (24 de marzo), pero nunca recibió respuesta de las autoridades indias después de eso. Según el blog, el problema persiste, por lo que no publicó los detalles exactos sobre las vulnerabilidades, incluido el nombre de la utilidad de ejecución estatal y la URL del punto final de la API vulnerable.
