U più grande sistema di identificazione digitale biometrica di u mondu, l’Aadhaar di l’India, hà appena subitu a so più grande violazione di dati.

Scrittu da Nick Corbishley via NakedCapitalism.com,

In un colpu, circa 10% di a pupulazione glubale pare avè avutu alcune di e so più preziose informazioni d'identificazione persunale (PII) cumprumessi. Eppuru Aadhaar cuntinueghja à riceve i plaudi da Silicon Valley.

Un pirate anonimu dichjara d'avè violatu i numeri d'identità digitale, è ancu altri dati persunali sensittivi, di circa 815 milioni di citadini indiani.

Per mette stu numeru in perspettiva, hè più di u 60% di i 1,3 miliardi di persone indiane iscritte in u prugramma di identità digitale biometrica di u guvernu Aadhaar, è circa u 10% di a pupulazione glubale sana. Grazie à a violazione – u più grande unicu in a storia di u paese, secondu l' Hindustan Times – i dati persunali di centinaie di milioni di indiani sò oghji per piglià nantu à u web scuru, per menu di $ 80,000.

Per registrà per una carta Aadhaar, i residenti indiani anu da furnisce l'infurmazioni demografiche basiche, cumprese u nome, a data di nascita, l'età, l'indirizzu è u sessu, è ancu l'infurmazioni biometriche, cumprese dece impronte digitali, duie scansioni di l'ochji è una fotografia faciale. A maiò parte di quelli dati sò apparentemente cumprumessi.

I rapporti di i media suggerenu chì a fonte di a fuga era a dati di teste Covid-19 di u Cunsigliu Indianu di Ricerca Medica (ICMR), chì hè ligata à u numeru Aadhaar di ogni individuu.

L'alarma hè stata prima suscitata da Resecurity, una sucietà di cibersecurità basata in Los Angeles, chì u 15 d'ottobre includeu i seguenti in un blogpost in u so situ web corporativu:

U 9 ​​d'ottobre, un attore di minaccia chì passava cù l'alias 'pwn0001' hà publicatu un filu nantu à i forum di violazione di l'accessu à l'accessu à 815 milioni di dischi "Citizen Indian Aadhaar & Passport". Per mette stu gruppu di vittime in perspettiva, a pupulazione sana di l'India hè pocu più di 1.486 miliardi di persone.

L'investigatori HUNTER anu stabilitu u cuntattu cù l'attore di a minaccia è anu amparatu chì eranu disposti à vende l'inseme di dati di u passaportu Aadhaar è indianu per $ 80,000.

U settore di dati offrittu da pwn0001 cuntene parechje campi ligati à l'IPI di i citadini indiani, cumprese, ma micca limitatu à:

– nome
– u nome di u babbu
– numeru di telefonu
– altru numeru
– Numero di passaportu
– Aadhar Number
– età
– genere
– indirizzu
– distrittu
– codice pin
– statu…

Unu di i campioni filtrati cuntene 100 000 registri di infurmazioni persunali identificabili (PII) ligati à i residenti indiani. In questa fuga di mostra, l'analista HUNTER identificanu ID validi di a carta Aadhaar, chì sò stati cunfirmati via un portale di u guvernu chì furnisce una funzione "Verify Aadhaar". Questa funzione permette à e persone di cunvalidà l'autenticità di e credenziali Aadhaar ", Resecurity hà dettu …

A resecurity hà acquistatu … 400,000 records è hà cuntattatu parechje vittime per cunvalidà l'infurmazioni, è hà utilizatu a funzione "Verify Aadhaar" dispunibule via risorsa WEB ufficiale di u guvernu in India.

E vittimi cuntattate da u settore di dati acquistati cunfirmanu a validità di e so dati, è anu dichjaratu ch'elli ùn anu mai statu notificatu [a violazione] prima.

Furtu d'identità digitale

Una fuga di tali informazioni d'identificazione persunale altamente sensibile (PII) crea un risicu significativu di furtu d'identità digitale, avvirtenu Affari di Sicurezza :

L'attori di a minaccia sfruttanu l'infurmazioni d'identità arrubati per commette furti bancari in linea, fraude di rimborsu d'imposte è altri crimini finanziari cyber-attivati. L'attori di u statu di a nazione cercanu ancu e dati Aadhaar cù u scopu di spionà è campagni d'influenza chì sfruttanu insights detallati nantu à a pupulazione indiana. A resecurity hà osservatu un piccu in incidenti chì implicanu ID Aadhaar è a so fuga in fori cibercriminali sotterranei da attori di minaccia chì cercanu di dannà i naziunali è i residenti indiani.

Aadhaar (Hindi per "fundazione") hè un numeru di identità unica (UID) di 12 cifre emessu da u guvernu dopu avè cunfirmatu l'infurmazione biometrica è demografica di una persona. Lanciatu in u 2012 cum'è parte di una iniziativa per dà à ogni residente indianu un numeru d'identificazione unicu, hè u più grande sistema di identità digitale di u pianeta, cù 1,3 miliardi di UID emessi da 2021, chì copre u 92% di a pupulazione di l'India.

Hè statu ostensibilmente creatu per furnisce à e persone senza identificazione un ID formale di u guvernu, è ancu di scaccià l'identità duplicate, false o arrubate aduprate per prufittà di i prugrammi di u guvernu è di i schemi di benessere.

È hà attiratu rapidamente l'interessu è l'elogi da i quartieri d'elite in u mondu, cumprese Silicon Valley.

In una entrata di u 2019 di u so blog "Gates Notes", Bill Gates hà elogiatu Aadhaar per avè resu visibili "a ghjente invisibile di l'India". Trè anni prima, in una cunferenza nantu à a Tecnulugia per a Trasfurmazione, Gates avia dettu chì Aadhaar hè qualcosa chì ùn era mai statu fattu prima da alcun guvernu, mancu in un paese riccu. Ellu hà ancu dichjaratu chì ùn pone micca risichi per a privacy; Pruvate di dì chì à i 815 milioni di persone chì i so dati persunali sò oghji per piglià in u Dark Web!

Inseme cù Nandan Nilekani, unu di i cofundatori di u giant tecnologicu indianu Infosys, chì hè largamente ricunnisciutu cum'è l'architettu capu di Aadhaar, Gates hà ghjucatu un rolu chjave in l'esportazione di Aadhaar in altre parti di u cosiddettu Sudu Globale, assai di questu. finanziatu da u Bancu Munniali. I dui miliardarii di a tecnulugia anu ancu aiutatu à cunvince u guvernu Modi à imbarcassi in a strada disastruosa di a demonetizazione per espansione l'alternative di pagamentu senza soldi. Si crede chì a demonetizazione hà causatu una calata di 2% in a crescita di u PIB di l'India solu in 2016/17 – l'equivalente di $ 52 miliardi, secondu u Sunday Guardian.

Ancu oghje, Aadhaar cuntinueghja à riceve elogi da Silicon Valley, malgradu tutti i so difetti di sicurezza, i prublemi di privacy è altri prublemi. Worldcoin, u cuntruversu prughjettu di criptu di munita creatu da u CEO di OpenAI, Sam Altman, chì usa un "orbe" di scanning d'ochju per dà à l'utilizatori una identità digitale unica per verificà s'ellu sò umani, hà dettu recentemente chì cerca di emulà u sistema Aadhaar di l'India in a so propria creazione di una identità globale è una reta finanziaria.

Irnicamenti, sia Aadhaar sia World Coin sò stati presentati in un rapportu recente da Moody's Investor Services cum'è esempi di cumu micca sviluppà un sistema di identità digitale. Cumu l'aghju nutatu à l'epica, ùn hè micca chjaru se e critiche di Moody eranu solu pocu puntuali, datu u sfondate geopuliticu, o facenu parte di una campagna più larga in l'Anglosfera contr'à l'interessi di l'India. U guvernu Modi è l'imprese tecnulugiche indiane sò disperatamente desiderosi di esportà u chjamatu "Indian Stack" – u Jan Dhan Yojana, un prugramma d'inclusione finanziaria; UPI, un sistema di pagamentu istantaneu lanciatu in u 2016, solu sei mesi prima chì u guvernu tirava fora di circulazione 84% di e note di cash di l'India in a so infame campagna di demonetizazione; è Aadhaar.

Mission Creep nantu à i steroidi

Aadhaar hè statu introduttu prima cum'è un modu vuluntariu di migliurà a prestazione di servizii di benessere. Ma u guvernu Modi hà allargatu rapidamente u so scopu rendendu ubligatoriu per i prugrammi di benessere è i benefici statali.

U scontru di a missione ùn hè micca finitu quì. Aadhaar hè diventatu tuttu ma necessariu per accede à una lista crescente di servizii di u settore privatu, cumprese i registri medichi, i cunti bancari è i pagamenti di pensione. Sicondu l'Affari di Sicurezza, sò i punti debbuli di sicurità di parechji di sti terzi, cumprese cumpagnie di utilità, fornitori di servizii indipendenti, operatori mobili è telecomunicazioni, è servizii di prestitu è ​​fintech, chì sò daretu à parechji di i breeches di dati.

I piani sò ancu in corso per ligà a registrazione di l'elettori à Aadhaar, malgradu i difetti di sicurezza evidenti di u sistema. In più di a vulnerabilità di u so almacenamentu di dati, u sistema Aadhaar di l'India hà assai altri svantaghji, cum'è aghju nutatu in u mo libru Scanned :

Per principià, traccia i movimenti di l'utilizatori trà e cità, u so status di u travagliu è i registri di compra. Hè un sistema di creditu suciale di facto chì serve cum'è u puntu di ingressu chjave per accede à i servizii in India. Mentre u sistema hà aiutatu à accelerà è pulizziari a burocrazia di l'India, hà ancu aumentatu massivamente i puteri di surviglianza di u guvernu indianu è escluditu più di 100 milioni di persone da i prugrammi di benessere è di i servizii di basa.

L'organismu publicu incaricatu di Aadhaar, l'Autorità di Identificazione Unicu di l'India (UIDAI), ùn hà ancu cummentatu annantu à l'ultima violazione. Ma s'è a forma passata hè una guida, quand'ellu face, negarà tutti i carichi. Finu à avà, hà sbulicatu tutte l'accusazioni di violazioni di dati, postu chì u sistema Aadhaar hè andatu cumplettamente sette anni fà, cumprese l'affirmazioni di Wikileaks chì a CIA puderia avè accessu à a basa di dati è l'allegazioni in u Rapportu di Rischi Globali di u Forum Economicu Mundiale 2019 chì Aadhaar avia ". hà patitu parechje violazioni chì potenzialmente compromettenu i registri di tutti i 1,1 miliardi di citadini registrati ".

Data u gran numaru di violazioni chì Aadhaar hà patitu, stu livellu di denialism diventa insostenibile. Ancu l'Actualizazione Biometrica, a publicazione cummerciale più impurtante per l'industria di a biometria, hà avvistatu chì l'India hè "sangue di dati biometrichi". E dati biometrici sò a nostra infurmazione persunale più preziosa. S'ellu hè pirate, ùn ci hè manera di annullà i danni. Ùn pudete micca cambià o annullà u vostru iris o l'impronta digitale cum'è pudete cambià una password o annullà una carta di creditu.

E probabilità di pirate di e dati sò significative, datu quantu sò a maiò parte di e basa di dati, nota u prufessore Sandra Watcher, prufissore di etica di dati à l'Istitutu Internet di Oxford:

"L' idea di una violazione di dati ùn hè micca una quistione di se, hè una quistione di quandu. Benvenuti à Internet: tuttu hè piratevule.

In vista di u numeru è a scala di violazioni recenti, "l'insistenza di u guvernu indianu chì Aadhaar hè sicuru anelli cavu", cuncludi l'Actualizazione Biometrica:

Un pezzu in l'Affari di Sicurezza informa chì prima di u mese, a cumpagnia di cibersecurità Resecurity hà trovu centinaie di milioni di registri chì cuntenenu informazioni d'identità persunale (PII) in vendita nantu à u web scuru. E carte Aadhaar eranu trà e dati in offerta.

Ancu in uttrovi, u PII di i candidati à un prugramma per i ghjovani cineasti à u Festival Internaziunale di Film di l'India hè statu espostu in un situ web di u guvernu per l'avvenimentu. U Deccan Herald informa chì u Times of India hà sappiutu accede à un annuariu parentale chì cuntene l'ID Aadhaar, carte PAN è altre PII di più di 100 persone chì anu dumandatu à traversu a National Film Development Corporation (NFDC).

Inoltre, cum'è infurmatu in The Hindu , un raid di a polizia in un bordellu in Bengaluru hà truvatu chì i travagliadori sessuali eranu stati dati falsi carte Aadhaar, è hà incitatu una investigazione in una pruduzzione più larga di falsi identità di guvernu, carte di votante è altri documenti.

È infine, ci hè u casu avà risoltu di biometria di impronte digitali, numeri d'identità digitale, documenti d'identità, fotografie è immagini sottumessi à Aadhaar chì sò esposti da u situ web di u guvernu statale di u Bengala Occidentale.

L'ultimu casu hè particularmente pertinente postu chì palesa quantu l'identificatori biometrici fragili ponu esse, soprattuttu quandu si tratta di finanzii. In l'ultimi anni, un cunsorziu di attori di u settore publicu è privatu, cumpresu u Bancu di Riserva di l'India, UIDAI, a Cumpagnia Naziunale di Pagamenti di l'India (NPCI) è l'Istitutu per u Sviluppu è a Ricerca in Tecnulugia Bancaria, hà sviluppatu un sistema bancariu senza carta chjamatu Sistema di Pagamentu Aadhaar attivatu, o AePS. Per prufittà di u serviziu, tutti i clienti necessitanu un nome di banca, un numeru Aadhaar è l'identificatori biometrici catturati durante a so iscrizzione Aadhaar. Hè rapidu, faciule, ma micca remotamente sicuru.

Un recente casu criminale in Bengala hà revelatu chì un sistema di pagamentu puramente biometricu, chì ùn implica micca carte è numeri PIN, ùn hè micca sicuru, in particulare quandu l'identificatori biometrici in quistione è i numeri Aadhaar sò facilmente accessibili in u World Wide Web. Cum'è sempre in questi casi, i fraudsters intraprendenti sò leghe davanti à l'autorità. Da Business Standard :

L'ultima alerta di scam hè ghjunta à a luce dopu chì a Pulizzia di Kolkata hà scupertu casi induve i truffatori arrubbanu dati, cumprese impronte digitali, da i registri di a terra fora di u situ web di i registri di u guvernu di u Bengala Occidentale. Dui individui sò stati arrestati per a so implicazione in transazzioni fraudulenti cù u Sistema di Pagamentu Abilitatu Aadhaar (AePS).

"Questi accusati anu sviluppatu falsi impronte digitali chì sò stati aduprati per ritirà soldi da u contu bancariu di u denunciante. Primarmenti. Hè statu trovu chì i dati elettronichi sò riuniti da diversi domini publichi / siti web ", hà dettu un anzianu ufficiale di a polizia di Kolkata à l'Indian Express.

In seguitu, a Pulizia di Kolkata hà dumandatu à u Dipartimentu di Finanzi statali di dissimulà e dati biometrici, cumprese l'impronte digitali, è i numeri di carte Aadhaar estratti da atti di pruprietà o qualsiasi altri documenti caricati in u situ web di registrazione di a pruprietà di u guvernu statale.

A risposta di certi banche è l'agenzii di l'infurzazioni di a lege hè revelativa: dicenu à i clienti bancari di chjude a so biometria in u portale m-Aadhaar app / UIDAI è cumincianu à aduprà un pin di quattru cifre per autentificà i pagamenti è impedisce l'accessu micca autorizatu à i so cunti bancari. Hè una ammissione aperta chì l'identificatori biometrici, per sè stessu, ùn sò micca abbastanza sicuri per scopi di transazzione. Nè sò stati almacenati in modu sicuru da entità pubbliche o private. Questu duverebbe (ma probabilmente micca) serve cum'è una storia di prudenza per tutti l'altri guverni è cumpagnie in u mondu chì cercanu di sfruttà u putere di l'identificatori biometrici è l'identità digitale.