Крупнейший в мире банк биометрических данных взломан за $8 и 10 минут
10 янв 2018 15:40 #65050
от ICT
Расследование The Tribune Издание The Tribune в ходе журналистского расследования смогло получить незаконный доступ к системе биометрических данных Агентства Индии по уникальной идентификации (UIDAI), заплатив за это всего 500 рупий, то есть около $8. Журналистам понадобилось 10 минут, чтобы найти в тайном чате в мессенджере WhatsApp дилера, который продал им логин и пароль для входа на сайт UIDAI, где находятся персональные данные пользователей. За дополнительные 300 рупий, то есть около $5, дилер предоставил софт для изготовления биометрической ID-карты пользователя UIDAI. Система UIDAI закрепляет за каждым жителем Индии уникальный двенадцатизначный номер под названием Aadhaar. К нему привязаны имена, фамилии, адреса, телефонные номера и банковские данные физических лиц, а также их биометрические параметры — отпечатки пальцев и сканы радужной оболочки глаза. Всего в систему Aadhaar занесено более миллиарда граждан, это самая крупная база биометрических данных в мире. Номер Aadhaar используется при совершении платежей пользователем, при получении им государственных выплат и в других подобных случаях. Неполный доступ Исследователи безопасности, изучившие инцидент, полагают, что журналисты The Tribune получили доступ к сайту UIDAI на правах администрирования, а именно — для обработки обращений от пользователей, заметивших опечатку в своем имени или адресе. Администратор имеет право устранить такую опечатку, однако доступа к биометрическим данным при этом не получает. http://filearchive.cnews.ru/img/news/2018/01/10/india600.jpg"> Система Aadhaar содержит биометрические данные более миллиарда жителей Индии Таким образом, приобретенные за $8 логин и пароль оказываются бесполезны для фальсификации денежных транзакций, поскольку банки требуют их биометрического подтверждения. Сама UIDAI также утверждает, что доступа к биометрии получено не было, поэтому заключенная в WhatsApp сделка не опасна для системы Aadhaar. Тем не менее, UIDAI пожаловалась на The Tribune в правоохранительные органы за приобретение нелегального доступа к базе. Однако The Tribune пишет, что представители UIDAI в Чандигархе, с которыми связалось издание, были «шокированы», когда узнали, что приобретенные логин и пароль дают доступ к уникальным двенадцатизначным номерам, именам, адресам, телефонным номерам, адресам электронной почты и фотографиям граждан Индии. Дополнительный генеральный директор регионального центра UIDAI в Чандигархе [b]Санджай Джиндал[/b] (Sanjay Jindal) сообщил, что во всем штате Пенджаб только у него самого и у генерального директора центра должен быть логин для доступа к официальному порталу. Мошенники в WhatsApp Отследить дилера, действовавшего на условиях анонимности, пока что не удалось. Расследование The Tribune выявило, что анонимная группа в WhatsApp было создано около шести месяцев назад, и тогда же началась мошенническая деятельность участников сообщества, связанная с UIDAI. Злоумышленники предлагают доступ к системе Aadhaar операторам 300 тыс. предприятий сельского уровня, которых наняло Министерство электроники и информационных технологий Индии по программе создания общественных сервисных центров. Так выглядит уникальный двенадцатизначный номер Aadhaar и выдаваемая на его основе ID-карта Изначально данные предприятия занимались выпуском карт Aadhaar по всей Индии, однако в ноябре 2017 г. эти полномочия были у них отобраны. В целях безопасности сейчас с Aadhaar могут работать только почтовые отделения и избранные банки. С помощью нелегального софта для выпуска карт общественные сервисные центры, которые с ноября простаивают без дела, могут возобновить работу подпольно, и по-прежнему получать деньги от населения, пишет The Tribune. Издание сообщает, что как минимум несколько сервисных центров в данный момент подозреваются в приобретении незаконного доступа к Aadhaar. Усиление безопасности Aadhaar было вызвано тем, что в мае 2017 г. в различных соцсетях были выложены в общий доступ уникальные двенадцатизначные номера 135 млн граждан Индии. Как выяснила впоследствии полиция, 300 номеров были использованы для незаконного получения от государства пенсионных выплат на общую сумму около $60 тыс.[img]http://filearchive.cnews.ru/img/news/2018/01/10/india600.jpg"> Система Aadhaar содержит биометрические данные более миллиарда жителей Индии Таким образом, приобретенные за $8 логин и пароль оказываются бесполезны для фальсификации денежных транзакций, поскольку банки требуют их биометрического подтверждения. Сама UIDAI также утверждает, что доступа к биометрии получено не было, поэтому заключенная в WhatsApp сделка не опасна для системы Aadhaar. Тем не менее, UIDAI пожаловалась на The Tribune в правоохранительные органы за приобретение нелегального доступа к базе. Однако The Tribune пишет, что представители UIDAI в Чандигархе, с которыми связалось издание, были «шокированы», когда узнали, что приобретенные логин и пароль дают доступ к уникальным двенадцатизначным номерам, именам, адресам, телефонным номерам, адресам электронной почты и фотографиям граждан Индии. Дополнительный генеральный директор регионального центра UIDAI в Чандигархе Санджай Джиндал (Sanjay Jindal) сообщил, что во всем штате Пенджаб только у него самого и у генерального директора центра должен быть логин для доступа к официальному порталу. Мошенники в WhatsApp Отследить дилера, действовавшего на условиях анонимности, пока что не удалось. Расследование The Tribune выявило, что анонимная группа в WhatsApp было создано около шести месяцев назад, и тогда же началась мошенническая деятельность участников сообщества, связанная с UIDAI. Злоумышленники предлагают доступ к системе Aadhaar операторам 300 тыс. предприятий сельского уровня, которых наняло Министерство электроники и информационных технологий Индии по программе создания общественных сервисных центров. Так выглядит уникальный двенадцатизначный номер Aadhaar и выдаваемая на его основе ID-карта Изначально данные предприятия занимались выпуском карт Aadhaar по всей Индии, однако в ноябре 2017 г. эти полномочия были у них отобраны. В целях безопасности сейчас с Aadhaar могут работать только почтовые отделения и избранные банки. С помощью нелегального софта для выпуска карт общественные сервисные центры, которые с ноября простаивают без дела, могут возобновить работу подпольно, и по-прежнему получать деньги от населения, пишет The Tribune. Издание сообщает, что как минимум несколько сервисных центров в данный момент подозреваются в приобретении незаконного доступа к Aadhaar. Усиление безопасности Aadhaar было вызвано тем, что в мае 2017 г. в различных соцсетях были выложены в общий доступ уникальные двенадцатизначные номера 135 млн граждан Индии. Как выяснила впоследствии полиция, 300 номеров были использованы для незаконного получения от государства пенсионных выплат на общую сумму около $60 тыс.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Похожие статьи
Тема | Релевантность | Дата |
---|---|---|
«Альфа-Банк» начал сбор биометрических данных граждан РФ | 15.87 | Понедельник, 02 июля 2018 |
«Тинькофф Банк» приступил к сбору биометрических данных по всей России | 15.7 | Среда, 31 октября 2018 |
Банк "Открытие" оборудовал 227 офисов в 54 регионах России для сбора биометрических данных | 15.54 | Пятница, 12 июля 2019 |
Альфа-Банк запустил сбор биометрических данных клиентов во всех регионах присутствия | 15.38 | Пятница, 28 декабря 2018 |
Связь-банк обеспечил сбор и передачу биометрических данных физлиц в своих отделениях | 15.38 | Вторник, 29 января 2019 |
«Почта Банк» рассказал о результатах внедрения биометрических технологий | 11.95 | Среда, 30 августа 2017 |
ВТБ начал сбор биометрических данных клиентов | 11.85 | Понедельник, 02 июля 2018 |
Выявлена масштабная утечка биометрических данных | 11.85 | Четверг, 15 августа 2019 |
ИЦ «АйТеко» внедрил в ВТБ систему сбора биометрических данных | 11.73 | Вторник, 07 августа 2018 |
«Ростелеком» расширит возможности применения биометрических данных | 11.73 | Понедельник, 14 октября 2019 |