Ein Sicherheitsforscher sagte, eine Website der indischen Regierung enthülle die Aadhaar-Zahlen der indischen Bauern, die sich möglicherweise auf Millionen von Menschen belaufen.
Atul Nair sagte gegenüber Tech, dass er einen Teil der Website von Pradhan Mantri Kisan Samman Nidhi gefunden habe, der die Informationen der Bauern enthülle. PM-Kisan, wie die Agentur besser bekannt ist, ist eine indische Regierungsinitiative, die darauf abzielt, jedem Bauern in Indien ein finanzielles Grundeinkommen zu verschaffen.
Nair sagte jedoch, dass ein Teil der Website der Initiative die Aadhaar-Nummern der Landwirte zurückgab, die die Landwirte angeben müssen, um das staatliche Einkommen zu erhalten.
Aadhaar-Nummern sind eine vertrauliche 12-stellige Nummer, die jedem indischen Staatsangehörigen als Teil der nationalen Identitätsdatenbank des Landes zugewiesen wird. Aadhaar wird als Identitätsnachweis für Bürger verwendet, nachdem sie ihre Fingerabdrücke und Netzhautscans an die zentrale Datenbank übermittelt haben, und wird häufig für den Zugang zu staatlichen Regierungsdiensten wie Sozialhilfe und Wahlen benötigt. Aadhaar-Nummern werden auch verwendet, um Bankkonten zu eröffnen, Airbnbs zu mieten, mit Uber zu fahren und andere Online-Dienste zu verifizieren. Aadhaar-Nummern sind nicht streng geheim, werden aber ähnlich wie amerikanische Sozialversicherungs- oder britische Nationalversicherungsnummern behandelt.
Nair lieferte eine kleine Stichprobe offengelegter Informationen von Landwirten und entsprechenden Aadhaar-Nummern, die von der PM-Kisan-Website veröffentlicht wurden, die Tech als authentisch verifizierte, indem es die offengelegten Daten mit den Informationen jedes Landwirts unter Verwendung eines Tools auf der eigenen Website von PM-Kisan abgleichte.
Er warnte davor, dass ein böswilliger Angreifer die Informationen der Bauern leicht hätte sammeln können, indem er ein Skript geschrieben hätte. Laut der Website von PM-Kisan, die anscheinend nur von Indien aus zugänglich ist, haben sich seit dem Start der Initiative im Jahr 2019 mehr als 110 Millionen Landwirte registriert.
Nair meldete die Sicherheitslücke im Januar dem nationalen Computer-Notfallteam Indiens, bekannt als CERT-In, und die Aufdeckung wurde Ende Mai behoben. Nair veröffentlichte seinen Bericht auch in ein Blogbeitrag.
Ranjna Nagpal, deren Kontaktinformationen auf der Website von PM-Kisan aufgeführt waren, antwortete nicht auf eine E-Mail mit der Bitte um einen Kommentar, die vor der Veröffentlichung gesendet wurde.
Das Datenleck ist kein Verstoß gegen die zentrale Datenbank, die von Aadhaars Regulierungsbehörde UIDAI betrieben wird, sondern ist die jüngste Sicherheitslücke, die die umstrittene nationale Identitätsdatenbank heimsucht, die von der Regierung von Premierminister Narendra Modi entschieden verteidigt wird.
Im Jahr 2017, ein Bericht fanden heraus, dass mehr als 130 Millionen Aadhaar-Nummern und zugehörige Bankdaten von nur einer Handvoll Websites offengelegt worden waren. Tech hat auch über mehrere Fehler berichtet, an denen eine große Anzahl von Aadhaar-Zahlen beteiligt war. Und im Jahr 2018 stellten Journalisten fest, dass Aadhaar-Daten von Einzelpersonen zum Verkauf angeboten wurden Zugang verkaufen zur Datenbank.
Lesen Sie mehr auf Tech: