13 февраля 2018 г. Просмотров: 2219
РИА Катюша
Личные данные миллиарда индусов взломали за 8 долларов
Несколько дней назад во второй по населенности стране мира, Индии, произошло событие, последствия которого будут еще долго переваривать сторонники и противники введения электронных систем тотального учета и контроля на государственном уровне. Рядовая гражданка Индии – находчивый журналист местного издания The Tribune Рахна Кайра – в своем материале наглядно показала предельную уязвимость инфобазы Агентства Индии по уникальной идентификации (UIDAI).
В сотый раз подтвердились опасения скептически настроенных экспертов и общественников – самым слабым местом любой, даже в совершенстве защищенной программно, системы Big Data остается человеческий фактор. Это касается, в том числе и электроных систем контроля над личностью, внедряемых в настоящее время в России адептами "цифровой экономики" вроде Германа Грефа.
Не имея никаких хакерских и вообще технических познаний, Кайра зашла в тайный чат с помощью мессенджера WhatsApp, за 10 минут нашла там анонимного дилера и всего за 500 рупий (около 8 долларов) получила доступ к госсистеме данных UIDAI, хранящей персональные данные 1,2 миллиарда граждан Индии. Заплатив еще 300 рупий (около 5 долл.), журналист получила от инсайдера ПО, позволяющее изготовить биометрическую ID-карту на «Аадхаар» любого пользователя. «Аадхаар» (санскр. – «основа») – это уникальный 12-значный номер, к которому привязаны имена, фамилии, адреса, телефонные номера и банковские данные физлиц, а также их биометрические параметры – отпечатки пальцев и сканы радужной оболочки глаза. На этот номер завязаны все финансовые операции (платежи, дотации, банковские переводы, пособия и т.д.) граждан и резидентов Индии. Вот так, без шума и пыли, была совершена крупнейшая кража личных данных в эпоху цифровой экономики.
Более того, днем позже Кайра опубликовала вторую часть своего расследования, в рамках которого тот же инсайдер-аноним примерно за 95 долл. обещался дать ей доступ к аккаунтам администраторов UIDAI. После этого можно спокойно раздавать права модераторов кому угодно – в том числе иностранным гражданам, находящимся в другой точке планеты.
Откровенный материал вызвал бурное возмущение индийцев, значительная часть которых вошла в единую систему идентификации в добровольно-принудительном порядке. Как известно, значительную часть населения страны составляют фермеры и крестьяне, среди которых очень много бедняков, и власти просто исключили для них возможность получения пенсий, пособий и иных льгот без «Аадхаара». Теперь людям явно есть о чем задуматься, ведь это далеко не первая поломка в механизме, запущенном якобы для всеобщего комфорта и безопасности.
В ноябре минувшего года издание timesofindia сообщило, что 200 правительственных сайтов хранят персональные данные индийцев в открытом доступе, и только через несколько недель оплошность была устранена. А еще ранее, в мае 2017 г., в различных соцсетях были выложены в общий доступ уникальные номера 135 млн. граждан Индии. Как выяснила впоследствии полиция, около 300 из них были использованы для незаконного получения от государства пенсионных выплат на общую сумму 60 тыс. долларов.
Мошенническая деятельность анонимов в мессенджерах началась после того, как Министерство электроники и информационных технологий Индии отобрало у 300 тыс. предприятий сельского уровня (локальных центров госуслуг, аналогов наших МФЦ) полномочия по выпуску ID-карт «Аадхаар». По данным британского издания, как минимум несколько сотрудников этих центров в данный момент подозреваются в приобретении незаконного доступа к ПО для создания новых карт, а также в разглашении администраторских логинов и паролей. В контексте произошедшего особенно странно, что до сих пор отсутствуют законы, регулирующие работу базы данных. Это почти гарантирует попадание колоссальной приватной информации в руки маркетологов и частного бизнеса. Более того, в UIDAI не используются базовые принципы криптографии, о системе безопасности проекта вообще известно очень немного. Правительство Индии не собирается открывать доступ к программному коду «Аадхаар» (что является обычной практикой в технологической сфере), следовательно, спецы по безопасности не могут оценить уровень ее защиты.
Как же отреагировали власти страны на смелое и совершенно открытое журналистское расследование? Представитель Агентства по уникальной идентификации в интервью американскому таблоиду BuzzFeed «на голубом глазу» заявил, что «потерь нет». То есть – якобы де-факто база личных данных населения не была взломана, система идеально защищена, и беспокоиться совершенно не о чем. Это прямо противоречит информации от The Tribune, сообщавшей, что представители UIDAI в г. Чандигархе, с которыми связалось издание, были «шокированы», когда узнали, что приобретенные логин и пароль дают доступ к уникальным 12-значным номерам, именам, адресам, телефонным номерам, электронной почте и фотографиям граждан Индии. Эта информация может находиться только у гендиректора регионального центра UIDAI и его заместителя.
И если никакого взлома системы не произошло, почему же правительство Индии решило включить The Tribune и персонально Рахну Кайру в направленное в полицию заявлении о краже закрытой информации? В экстренном порядке закрывается доступ к персональным данным населения для 5000 сотрудников UIDAI, а для открытия досье на конкретного гражданина теперь будут требовать не только его ID, но и биометрические данные. А с 1 марта 2018 г. у индийцев появится возможность устанавливать себе виртуальный 16-значный идентификатор, который, вместе с биометрической проверкой, призван обеспечить дополнительную защиту при финансовых и иных операциях в системе. Кто-то может поверить, что власти в дикой спешке внедряют все эти новшества просто от нечего делать?
«Журналиста, показавшего слабые места UIDAI, надо не допрашивать, а награждать. Если бы правительство действительно желало справедливости, оно бы поменяло политику вмешательства в частную жизнь миллиарда граждан Индии. Хотите арестовать настоящих виновных? Их зовут UIDAI», – прокомментировал ситуацию знаменитый борец со слежкой американских спецслужб Эдвард Сноуден.
Источник:
|