Данные Aadhaar о большом количестве фермеров были утечены правительственным веб-сайтом, созданным для обеспечения благосостояния сельскохозяйственного сектора в Индии, сообщил исследователь безопасности. Веб-сайт под названием PM Kisan позволяет правительству распределять гранты среди фермеров в рамках программы Pradhan Mantri Kisan Samman Nidhi. Однако из-за проблемы одна из его частей публично раскрывала количество зарегистрированных фермеров Aadhaar. С момента своего запуска в 2019 году на веб-сайте зарегистрировалось более 110 миллионов фермеров.
Исследователь безопасности Атул Наир сообщил в сообщении на Medium, что часть веб-сайта PM Kisan слила номер Aadhaar своих зарегистрированных фермеров.
«Веб-сайт предоставляет конечную точку, которая возвращает информацию о получателе. Эта конечная точка также отправляла номера Aadhaar», — сказал Наир в интервью Gadgets 360.
Проблема была впервые обнаружена исследователем в конце января и была сообщена индийской группой реагирования на компьютерные чрезвычайные ситуации (CERT-In). Вскоре после получения отчета узловое агентство направило подробную информацию соответствующим властям. Однако им, по-видимому, потребовалось несколько месяцев, чтобы исправить экспозицию.
Наир написал в своем посте, что проблема была устранена в конце мая. Он сказал Gadgets 360, что подтвердил, что проблема больше не воспроизводима.
Однако не подтверждено, смог ли злоумышленник взломать данные, пока это не было исправлено.
CERT-In поблагодарил исследователя за сообщение о проблеме, хотя он явно не подтвердил исправление или то, что данные не были нарушены.
Gadgets 360 связался с Национальным центром информатики (NIC) — разработчиком и сопровождающим веб-сайта PM Kisan. Эта статья будет обновлена, когда департамент ответит.
Номера Aadhaar физических лиц в стране не носят конфиденциального характера, согласно Управлению по уникальной идентификации Индии (UIDAI) — законодательному органу, которому поручено выдавать 12-значные уникальные идентификационные номера. Тем не менее, это ограничивает пользователей от обмена картами Aadhaar на общедоступных платформах.
Примечательно, что это не первый случай, когда данные физических лиц Aadhaar были обнародованы на правительственном веб-сайте. По сообщениям, в 2019 году правительство Джаркханда раскрыло уникальные идентификационные номера тысяч своих работников.
- RailTel Исправляет ошибку, Которая Могла позволить Злоумышленникам взламывать учетные записи электронной почты
- Правительство Исправляет уязвимость в системе безопасности eHospital, раскрывающую данные миллионов пациентов
- Сайт Научного института Нагпура стал мишенью малазийских хакеров
Несколько дней спустя государственный производитель сжиженного нефтяного газа (LPG) Indane также якобы раскрыл Aadhaar информацию о миллионах своих потребителей.