Ein Sicherheitsforscher sagt, dass durch einen Fehler auf einer Website der indischen Landesregierung versehentlich Dokumente enthüllt wurden, die die Aadhaar-Nummern, Personalausweise und Kopien ihrer Fingerabdrücke von Bewohnern enthielten.
Der Fehler wurde letzte Woche behoben, nachdem der Sicherheitsforscher den Fehler den örtlichen Behörden mitgeteilt hatte.
Sourajeet Majumder hat den Fehler im e-District-Webportal der Regierung von Westbengalen entdeckt, das es Staatsbürgern ermöglicht, online auf Regierungsdienste zuzugreifen, wie zum Beispiel Geburts- und Sterbeurkunden und Bauanträge. Majumder sagte, der Website-Fehler bedeute, dass es möglich sei, Landurkunden, die Aufzeichnungen über die Eigentümer eines Grundstücks enthalten, von der e-District-Website zu erhalten, indem man aufeinanderfolgende Urkundenantragsnummern errate.
Antragsidentifikationsnummern sind eindeutige 16-stellige Nummern, die von der Landesregierung vergeben werden, wenn ein Anwohner eine digitale Kopie einer Urkunde beantragt.
Nicht jede Antragsidentifikationsnummer war gültig. Durch die Verwendung öffentlich verfügbarer Tools wie Burp Suite zur Analyse des Netzwerkverkehrs innerhalb und außerhalb der Website konnte Majumder ganze Listen aufeinanderfolgender Anwendungsnummern durchgehen und anhand der Antworten des Servers feststellen, ob eine Anwendungsidentifikationsnummer gültig war.
Mit Zugriff auf eine Antragsidentifikationsnummer kann jeder, der sich beim e-District-System angemeldet hat, auf eine Kopie einer Grundstücksurkunde zugreifen. Zwei von Tech eingesehene Landurkundenaufzeichnungen enthalten die Namen der an der Urkunde beteiligten Personen, ihre Fotos und den vollständigen Satz Fingerabdrücke beider Hände. Es ist nicht ungewöhnlich, dass in einer einzigen Urkunde mehrere Personen aufgeführt sind.
Die Urkunden enthalten auch die von der Regierung ausgestellten Ausweisdokumente der Personen, einschließlich ihrer vertraulichen Aadhaar-Nummern, die jedem Bürger als Teil der nationalen Identitäts- und biometrischen Datenbank Indiens zugewiesen werden. Für den Zugriff auf Bankgeschäfte, Mobilfunktarife und viele staatliche Dienste sind Aadhaar-Nummern erforderlich.
Majumder meldete die Sicherheitslücke auf der Website dem indischen Computer-Notfallteam CERT-In und der Regierung von Westbengalen, da er befürchtete, dass die Sicherheitslücke für Identitätsbetrug missbraucht werden könnte. Der Fehler wurde bald darauf behoben.
Es ist nicht bekannt, ob jemand anderes als Majumder den Fehler entdeckt hat. Vertreter der Regierung von Westbengalen und von CERT-In antworteten nicht auf Anfragen nach Kommentaren. Auf der E-District-Website der Regierung von Westbengalen heißt es, sie habe bisher mehr als 17 Millionen Anträge bearbeitet, wobei nicht bekannt sei, wie viele Anträge sich auf Landurkunden bezögen.
Lokale Medienberichte ein jüngster Anstieg der Betrugsfälle steht im Zusammenhang mit dem mutmaßlichen Diebstahl biometrischer Daten, die Kriminelle nutzen sollen, um Bankkonten zu leeren.