Утечка персональных данных из биометрической идентификационной системы Индии — и молчание государственных служб

Снятие отпечатков пальцев для уникального персонального номера Aadhaar, снимок сделан Каннаншанмугхамом, оригинал находится на Викискладе. CC BY 3.0

[Ссылки в статье ведут на страницы на английском языке, если не указано иного].

По проекту правительства Индии личные данные более 1,13 миллиарда граждан и резидентов Индии попали в уникальную идентификационную систему, именуемую «Aadhaar» [рус], что на языке хинди означает «основание».

При этом, по сведениям из возрастающего числа источников, конфиденциальность хранящейся в ней личной информации органы власти не обеспечивают, а в самом основании системы заложена, в лучшем случае, шаткость.

Четвёртого января 2018 года в газете The Tribune of India, головной офис которой расположен в городе Чандигарх, была опубликована информация о том, что доступ к находящимся в Aadhaar личным сведениям находится в свободной продаже по исключительно низким ценам через приложение WhatsApp — новость вызвала настоящий взрыв общественного негодования.

#TRIBUNEINVESTIGATION [расследование издания The Tribune] — #SECURITYBREACH [пробел системы безопасности]| от @RachnaKhaira
500 рупий, 10 минут, и вы получаете доступ к миллиардам личных данных, хранящихся в #Aadhaar

Расследование проследило историю деревенского предпринимателя, мужчины по имени Бхарат Бхушан Гупта, соблазнённого на покупку доступа к указанной базе данных через WhatsApp [рус]. Позже Гупта понял, что получил информацию в значительно большем объёме, чем запрашивал.

Обеспокоенный последствиями, которыми это может обернуться для владельцев личных данных, Гупта попытался сообщить о проблеме в Агентство Индии по уникальной идентификации (UIDAI [рус]), в ведении которого находятся персональные номера системы Aadhaar, однако ни подтверждения тому, что UIDAI известно о проблеме, ни заверения в том, что проблема будет решена, он не получил. Гупта является одним из 270 000 деревенских бизнесменов, предоставляющих ряд электронных услуг через Центры общего обслуживания, целью которых является обеспечение связи между правительственными ведомствами, предприятиями и гражданами.

Тогда он обратился за помощью к журналистке Tribune Рачхне Хаире, которая решила сама разобраться в ситуации.

После её расследования новостное издание India Today также провело свой собственный «оперативный эксперимент», целью которого ставилось подтвердить сведения, обнаруженные репортёром Tribune.

Операция #AadhaarLeaks [Утечки из Aadhaar]
Хранящиеся в Aadhaar ваши личные сведения продаются всего за 2 рупии!
Смотрите специальное расследование India Today.#NEWSROOM В прямом эфире по ссылке

Противоречивая реакция правительства

На сообщения об утечке данных агентство UIDAI отреагировало возбуждением уголовного дела против проводившей расследование журналистки Рачхны Хаиры, назвав нарушение безопасности личных сведений граждан «недостоверной передачей информации». В ответ на осуждение уголовного преследования корреспондентки со стороны Гильдии редакторов, агентство UIDAI предоставило обоснование своим действиям.

По такой логике следственные органы должны открыть уголовные дела против всех журналистов, занимающихся разоблачением. Бутафорское оправдание. @UIDAI следует забрать заявление против журналистки, написавшей об #AadharLeaks [утечки из Aadhar] UIDAI хорошо известны тактикой запугивания разоблачителей. Гражданское общество не застращаешь.

Министр информационных технологий Индии Рави Шанкар Прасад выступил с заявлением:

Правительство полностью привержено как идее свободы прессы, так и обеспечению безопасности и неприкосновенности #Aadhaar в интересах развития Индии. Заявление в полицию подано против неизвестного. Я предложил @UIDAI попросить Tribune и их корреспондентку оказать содействие полиции в обнаружении настоящих нарушителей закона.

UIDAI уже не в первый раз «убивает гонца, принёсшего дурную весть», выражаясь фигурально. В начале 2017 года агентство завело уголовное дело на журналиста CNN-News 18 Дебайана Рая за проведение им расследования, в ходе которого, используя один и тот же биометрический комплект, корреспонденту удалось создать два разных идентификационных номера в Aadhaar.

Ещё один уголовный иск был подан агентством UIDAI против предпринимателя Самеера Коччара после того, как тот поделился в своём блоге способом взлома системы Aadhaar посредством «атаки повторного биометрического воспроизведения». Во всех этих случаях UIDAI настаивает на «ложности» всех претензий против них.

«Дырявый» замысел

Уникальный персональный номер Aadhaar объединяет в одно целое демографические и биометрические сведения о человеке, включая фотографию, отпечатки пальцев, домашний адрес и прочие личные данные. Указанная информация хранится в централизованной базе данных, доступ к которой открыт целому ряду государственных учреждений, имеющих разрешение пользоваться сведениями по мере оказания общественных услуг.

Будучи способной повысить эффективность, централизация такой информации также создаёт уязвимую ситуацию, при которой единственный элементарный взлом системы может привести к рассекречиванию данных миллионов жителей Индии.

В июне 2017 года активные пользователи Twitter имели в виду именно эту причину, когда предупреждали об опасности, с которой сопряжены предоставление государственным служащим реквизитов доступа в базу данных, а также передача им полномочий на скачивание информации из e-Aadhaar:

в прошлом апреле @databaazi предупредила нас о существовании доступа к поиску информации UIDAI. Сейчас, спустя 10 месяцев @thetribunechd сообщает, что более 1 лакха людей незаконно получили доступ… Реакция UIDAI: удаление со своего сайта файлов, связанных с маршрутизацией по пункту назначения (DSDV) и SRDH

[Примечание редактора: 1 лакх = 100 000 человек]

В годовом отчёте Министерства коммуникаций и информационных технологий страны за 2015-2016 годы озвучено средство открытия файлов DBT (DSDV), «позволяющее департаментам и учреждениям просматривать демографические сведения обладателей номеров Aadhaar».

Как сообщает @databaazi, реквизиты доступа DSDV позволяют сторонним лицам с IP-адресов из «белого списка» получать доступ к размещённым в Aadhaar сведениям (без разрешения держателей уникального персонального номера). Следовательно, у любого владельца соответствующего IP-адреса появляется возможность свободно войти в систему.

Скриншоты DSDV (основной лицензии), позволяющие третьим сторонам (как государственным органам, так и физическим лицам) войти в систему данных Aadhaar (1/2)

Агентство UIDAI частично подтвердило эту информацию через Twitter :

Некоторые граждане используют не по назначению поисковую демографическую службу, которая находится в ведении установленных должностных лиц для содействия жителям, утерявшим купон регистрации Aadhaar, в восстановлении своих данных

Такая системная брешь ставит под угрозу личные сведения миллионов граждан — что является прямым нарушением законодательства об Aadhaar.

#AadhaarLeaks по вине государственных служб

Закон об Aadhaar запрещает открытую публикацию уникальных персональных номеров Aadhaar. Однако имеются неопровержимые доказательства разглашения информации о банковских счетах и уникальных персональных номерах Aadhaar пенсионеров, несовершеннолетних, получателей стипендий и грантов, а также других групп граждан правительственными ведомствами как на федеральном уровне, так и на уровне штатов.

В октябре 2017 года пользователь Twitter @iam_anandv продемонстрировал, как обычный поисковый запрос в Google по ключевой фразе, содержащей UIDAI, выведет сотни хранящихся в системе Aadhaar сведений.

@UIDAI @ceo_uidai Поиск по вашим ключевым словам в @Google отображает сотни строк с данными из Aadhaar. Можете вы их удалить?

В ноябре прошлого года было доказано, что более чем 200 правительственных сайтов отображали данные из системы Aadhaar. Агентству UIDAI пришлось в этом признаться, когда они вынуждены были предоставить соответствующие сведения в ответ на запрос в рамках Права на информацию (RTI).

Генеральный директор UIDAI Аджай Бхушан Пандей неоднократно подчеркивал, что разглашение информации о хранящихся в Aadhaar номерах само по себе не представляет значительной опасности, поскольку «номера Aadhaar аналогичны банковским счетам». Тем не менее, в результате, многие граждане оказались уязвимыми перед мошенничеством, в том числе с использованием личных данных, а также перед злоупотреблением власти со стороны корпораций, как это уже произошло в декабре 2017 года, когда гигант телекоммуникаций Airtel без получения осознанного согласия открыл для своих клиентов три миллиона расчётных счетов.

Скриншот страницы сайта Агентства Индии по уникальной идентификации (UIDAI), содержащий предупреждение не заниматься публичным распространением уникальных номеров Aadhar.

Несмотря на скандальность ситуации, утечки продолжаются. Данная тенденция не прошла мимо внимания экспертов по технологиями обеспечения конфиденциальности. Недавно профессор Грэм Гринлиф охарактеризовал инцидент как один из наиболее «опасных развитий событий в области конфиденциальности» в мире:

Опаснейшее развитие событий в области конфиденциальности? Непростой выбор между индийским Aadhaar и китайской Системой социального кредита. Но в Индии до сих пор даёт надежду наличие Верховного суда, Конституции и процесса Путтасвами — тогда как в Китае нет ничего из этого.

Хотя действия UIDAI внушают мало оптимизма, последняя надежда возлагается на решение Верховного суда Индии, последнее заседание которого для прослушивания петиций по Aadhaar прошло 17 января 2018 года.

Начать обсуждение

Авторы, пожалуйста вход в систему »

Правила

  • Пожалуйста, относитесь к другим с уважением. Комментарии, содержащие ненависть, ругательства или оскорбления не будут опубликованы.