Gadgetshowto
Inmiddels zou niemand verbaasd moeten zijn over datalekken van Aadhaar, maar een exclusief rapport van ZDNet zegt dat de privacy en veiligheid van elke afzonderlijke Aadhaar-kaarthouder in India mogelijk wordt bedreigd. De belangrijkste beveiligingsfout is de laatste die de controversiële ID-database aantast waarvan keer op keer is bewezen dat deze vatbaar is voor de ene grote beveiligingsfout na de andere.
Volgens het laatste rapport over de nachtmerrieachtige staat van Aadhaar-beveiliging, heeft Karan Saini, een in New Delhi gevestigde cyberbeveiligingsonderzoeker, schijnbaar een kwetsbaarheid ontdekt die iedereen in staat stelt om toegang te krijgen tot privé-informatie over alle Aadhaar-houders, waarbij hun namen worden onthuld, unieke 12- cijferige ID-nummers, informatie over hun bankgegevens, de services waarmee ze zijn verbonden en meer. Het is duidelijk dat de 3 meter hoge muren niet werkten.
De bron van het datalek is naar verluidt een naamloos door de staat gerund nutsbedrijf, dat een onbeveiligde API gebruikt om toegang te krijgen tot de Aadhaar-database, waardoor de privacy en veiligheid van niet alleen zijn eigen klanten, maar mogelijk van alle 1,1 miljard Aadhaar-houders in het land in gevaar komt..
Volgens Saini, "Het eindpunt van de API ... heeft geen toegangscontroles, (en) het getroffen eindpunt gebruikt een hardcoded toegangstoken, dat, wanneer gedecodeerd, zich vertaalt naar" INDAADHAARSECURESTATUS ", waardoor iedereen Aadhaar-nummers kan opvragen op basis van de database zonder enige aanvullende authenticatie".
De API heeft geen snelheidsbeperking, waardoor een aanvaller elke permutatie - mogelijk triljoenen - van Aadhaar-nummers kan doorlopen en informatie kan verkrijgen telkens wanneer een succesvol resultaat wordt bereikt
De blog beweert contact te hebben opgenomen met het Indiase consulaat in New York om de onthullingen van Saini te bespreken, en nam contact op met de consul voor handel en douane, Devi Prasad Misra. Ondanks het beantwoorden van verschillende vervolgvragen in de komende weken, was de kwetsbaarheid echter nog steeds niet verholpen.
Eindelijk, begin deze week, zegt ZDNet Mishra te hebben geïnformeerd dat het verhaal op vrijdag (24 maart) zou worden gepubliceerd, maar daarna nooit meer iets van de Indiase autoriteiten heeft gehoord. Volgens de blog blijft het probleem bestaan, en daarom heeft het niet de exacte details over de kwetsbaarheden gepubliceerd, inclusief de naam van het door de staat gerunde hulpprogramma en de URL van het kwetsbare API-eindpunt.
