数据库严重漏洞印11亿个资遭贱卖
发布时间:2024-11-26
爽报 YesDaily.COM
209
印度国民身份认证局(UIDAI),是该国生物身份辨识数据库唯一的合法管理机构。该局在去年11月才声称,数据库绝对安全可靠,不会发生任何资料泄露问题,但在今年1月和2月,却相继爆出10亿多民眾资料外泄丑闻,被泄露的个人资料包括指纹、姓名、身份证號等。
印度《论坛报》今年1月揭露,其记者透过网络管道,10分钟內就能以500卢比(约30令吉)买到安达尔系统的「后门金钥」,毫无限制地存取全国11亿登录国民的个人资料——甚至再加购300卢比(约18令吉),就能盗印晶片身分证、冒充他人游走四方,消息曝光后震惊全印度。
当时报导指,过去数月来,该报记者不断在社交网络上听闻安达尔的安全漏洞,並透过社交媒体WhatsApp,联繫到了贩售「后门金钥」的匿名群组。
整起交易过程不到10分钟,记者才刚用第三方支付平台Paytm转账500卢比后,隨即收到了账號密码。只要透过后门连结,就能轻易登入安达尔的数据库,全印度11亿登陆户的姓名、照片、手机、住址等全都一览无遗。
在进入数据库后,记者又再支付了300卢比,另一匿名「客服」即透过远端操控,为记者下载足以盗印指定登录者晶片身份证的特殊资料。简便的交易流程,让《论坛报》上下大感意外,外泄时间更可能超过半年以上。
UIDAI隨即否认有关报导,並指最关键的虹膜与指纹数据库並未外泄;至於盗印晶片身份证,则可能是製卡承包商遭解约后的非法行为,警方已立案调查。
儘管UIDAI反覆强调,安达尔並不存在什么重大的泄露危机,但有证据表明,目前所出现的资料泄露问题,已导致印度人民更容易遭受网络钓鱼、身份欺诈等威胁。去年12月,印度的电信巨头Airtel在没有获得用户同意的情况下,便擅自公开了300万用户的支付账户。
