Снятие отпечатков пальцев для уникального персонального номера Aadhaar, снимок сделан Каннаншанмугхамом, оригинал находится на Викискладе. CC BY 3.0
[Ссылки в статье ведут на страницы на английском языке, если не указано иного].
По проекту правительства Индии личные данные более 1,13 миллиарда [1] граждан и резидентов Индии попали в уникальную идентификационную систему, именуемую «Aadhaar [2]» [рус], что на языке хинди означает «основание».
При этом, по сведениям из возрастающего числа источников [3], конфиденциальность хранящейся в ней личной информации органы власти не обеспечивают, а в самом основании системы заложена, в лучшем случае, шаткость.
Четвёртого января 2018 года в газете The Tribune of India [4], головной офис которой расположен в городе Чандигарх, была опубликована информация о том, что доступ к находящимся в Aadhaar личным сведениям находится в свободной продаже по исключительно низким ценам через приложение WhatsApp — новость вызвала настоящий взрыв общественного негодования.
#TRIBUNEINVESTIGATION [5] — #SECURITYBREACH [6] | by @RachnaKhaira [7]
Rs 500, 10 minutes, and you have access to billion #Aadhaar [8] details https://t.co/3vlJhbP94t [9]pic.twitter.com/PRMutzR75d [10]— The Tribune (@thetribunechd) January 3, 2018 [11]
#TRIBUNEINVESTIGATION [5] [расследование издания The Tribune] — #SECURITYBREACH [6] [пробел системы безопасности]| от @RachnaKhaira [7]
500 рупий, 10 минут, и вы получаете доступ к миллиардам личных данных, хранящихся в #Aadhaar [8]
Расследование проследило историю деревенского предпринимателя [12], мужчины по имени Бхарат Бхушан Гупта, соблазнённого на покупку доступа к указанной базе данных через WhatsApp [13] [рус]. Позже Гупта понял, что получил информацию в значительно большем объёме, чем запрашивал.
Обеспокоенный последствиями, которыми это может обернуться для владельцев личных данных, Гупта попытался сообщить о проблеме в Агентство Индии по уникальной идентификации (UIDAI [2] [рус]), в ведении которого находятся персональные номера системы Aadhaar, однако ни подтверждения тому, что UIDAI известно о проблеме, ни заверения в том, что проблема будет решена, он не получил. Гупта является одним из 270 000 деревенских бизнесменов, предоставляющих ряд электронных услуг через Центры общего обслуживания, целью которых является обеспечение связи между правительственными ведомствами, предприятиями и гражданами.
Тогда он обратился за помощью к журналистке Tribune Рачхне Хаире, которая решила сама разобраться в ситуации.
После её расследования новостное издание India Today также провело свой собственный «оперативный эксперимент», целью которого ставилось подтвердить сведения, обнаруженные репортёром Tribune.
Operation #AadhaarLeaks [14]
Your Aadhaar details on sale for just Rs 2!
Watch this India Today special investigation.#NEWSROOM [15] Live at https://t.co/4fqxBVUizL [16]pic.twitter.com/aUFypsiOhG [17]— India Today (@IndiaToday) January 5, 2018 [18]
Операция #AadhaarLeaks [14] [Утечки из Aadhaar]
Хранящиеся в Aadhaar ваши личные сведения продаются всего за 2 рупии!
Смотрите специальное расследование India Today.#NEWSROOM [15] В прямом эфире по ссылке
Противоречивая реакция правительства
На сообщения об утечке данных агентство UIDAI отреагировало возбуждением [19] уголовного дела против проводившей расследование журналистки Рачхны Хаиры, назвав нарушение безопасности личных сведений граждан «недостоверной передачей информации» [20]. В ответ на осуждение [21] уголовного преследования корреспондентки со стороны Гильдии редакторов, агентство UIDAI предоставило обоснование своим действиям.
By the logic of this release investigative agencies should file cases against all journalists who do an expose. Sham defence. @UIDAI [22] should withdraw FIR against journalist who broke #AadharLeaks [23] Agency has track record of intimidating whistleblowers. Can’t browbeat civil society. pic.twitter.com/FIUOtvsR9D [24]
— Rahul Kanwal (@rahulkanwal) January 7, 2018 [25]
По такой логике следственные органы должны открыть уголовные дела против всех журналистов, занимающихся разоблачением. Бутафорское оправдание. @UIDAI [22] следует забрать заявление против журналистки, написавшей об #AadharLeaks [23] [утечки из Aadhar] UIDAI хорошо известны тактикой запугивания разоблачителей. Гражданское общество не застращаешь.
Министр информационных технологий Индии Рави Шанкар Прасад выступил с заявлением:
Govt. is fully committed to freedom of Press as well as to maintaining security & sanctity of #Aadhaar [8] for India's development. FIR is against unknown. I've suggested @UIDAI [22] to request Tribune & it's journalist to give all assistance to police in investigating real offenders.
— Ravi Shankar Prasad (@rsprasad) January 8, 2018 [26]
Правительство полностью привержено как идее свободы прессы, так и обеспечению безопасности и неприкосновенности #Aadhaar [8] в интересах развития Индии. Заявление в полицию подано против неизвестного. Я предложил @UIDAI [22] попросить Tribune и их корреспондентку оказать содействие полиции в обнаружении настоящих нарушителей закона.
UIDAI уже не в первый раз «убивает гонца, принёсшего дурную весть», выражаясь фигурально. В начале 2017 года агентство завело уголовное дело [27] на журналиста CNN-News 18 Дебайана Рая за проведение им расследования [28], в ходе которого, используя один и тот же биометрический комплект, корреспонденту удалось создать два разных идентификационных номера в Aadhaar.
Ещё один уголовный иск был подан агентством UIDAI против предпринимателя Самеера Коччара после того, как тот поделился в своём блоге [29] способом взлома системы Aadhaar посредством «атаки повторного биометрического воспроизведения». Во всех этих случаях UIDAI настаивает на «ложности [30]» всех претензий против них.
«Дырявый» замысел
Уникальный персональный номер Aadhaar объединяет в одно целое демографические и биометрические сведения о человеке, включая фотографию, отпечатки пальцев, домашний адрес и прочие личные данные. Указанная информация хранится в централизованной базе данных, доступ к которой открыт целому ряду государственных учреждений, имеющих разрешение пользоваться сведениями по мере оказания общественных услуг.
Будучи способной повысить эффективность, централизация такой информации также создаёт уязвимую ситуацию, при которой единственный элементарный взлом системы может привести к рассекречиванию данных миллионов жителей Индии.
В июне 2017 года активные пользователи Twitter имели в виду именно эту причину, когда предупреждали об опасности, с которой сопряжены предоставление государственным служащим реквизитов доступа в базу данных, а также передача им полномочий на скачивание информации из e-Aadhaar:
.@databaazi [31] warned us about existence of search access to UIDAI data in last year April. Now after 10 months @thetribunechd [32] reports, more than 1 lakh people got illegal access. https://t.co/wJwFvdu5XE [33]
UIDAI's response: deleting files related to DSDV & SRDH from its website
[Editor's note: 1 lakh = 100,000]
— Anivar Aravind (@anivar) January 4, 2018 [34]
в прошлом апреле @databaazi [31] предупредила нас о существовании доступа к поиску информации UIDAI. Сейчас, спустя 10 месяцев @thetribunechd [32] сообщает, что более 1 лакха людей незаконно получили доступ… Реакция UIDAI: удаление со своего сайта файлов, связанных с маршрутизацией по пункту назначения (DSDV) и SRDH
[Примечание редактора: 1 лакх = 100 000 человек]
В годовом отчёте [35]Министерства коммуникаций и информационных технологий страны за 2015-2016 годы озвучено средство открытия файлов DBT (DSDV), «позволяющее департаментам и учреждениям просматривать демографические сведения обладателей номеров Aadhaar».
Как сообщает @databaazi, реквизиты доступа DSDV позволяют сторонним лицам с IP-адресов из «белого списка» получать доступ к размещённым в Aadhaar сведениям (без разрешения держателей уникального персонального номера). Следовательно, у любого [36] владельца соответствующего IP-адреса появляется возможность свободно войти в систему.
Screenshots of DSDV (basic licence), which allows third parties (both public and private) to access Aadhaar data (1/2) pic.twitter.com/0Wi4s1EvVz [37]
— india subsidy data (@databaazi) April 3, 2017 [38]
Скриншоты DSDV (основной лицензии), позволяющие третьим сторонам (как государственным органам, так и физическим лицам) войти в систему данных Aadhaar (1/2)
Агентство UIDAI частично подтвердило эту информацию через Twitter :
Some persons have misused demographic search facility, given to designated officials to help residents who have lost Aadhaar/Enrollment slip to retrieve their details @thetribunechd [32]@rsprasad [39]@ceo_uidai [40]@timesofindia [41]@firstpost [42]@IndiaToday [43]@ZeeNews [44]@htTweets [45]@TheQuint [46]
— Aadhaar (@UIDAI) January 4, 2018 [47]
Некоторые граждане используют не по назначению поисковую демографическую службу, которая находится в ведении установленных должностных лиц для содействия жителям, утерявшим купон регистрации Aadhaar, в восстановлении своих данных
Такая системная брешь ставит под угрозу личные сведения миллионов граждан — что является прямым нарушением законодательства об Aadhaar [48].
#AadhaarLeaks по вине государственных служб
Закон об Aadhaar [48] запрещает открытую публикацию уникальных персональных номеров Aadhaar. Однако имеются неопровержимые доказательства [49] разглашения информации о банковских счетах и уникальных персональных номерах Aadhaar пенсионеров, несовершеннолетних, получателей стипендий и грантов, а также других групп граждан правительственными ведомствами как на федеральном уровне, так и на уровне штатов.
В октябре 2017 года пользователь Twitter @iam_anandv продемонстрировал, как обычный поисковый запрос в Google по ключевой фразе, содержащей UIDAI, выведет сотни хранящихся в системе Aadhaar сведений.
@UIDAI [22]@ceo_uidai [40] Searching your tagline in @Google [50] shows a few with Aadhaar details. Can you get them removed? pic.twitter.com/wpvVrvev9m [51]
— Anand V (@iam_anandv) October 19, 2017 [52]
@UIDAI [22] @ceo_uidai [40] Поиск по вашим ключевым словам в @Google [50] отображает сотни строк с данными из Aadhaar. Можете вы их удалить?
В ноябре прошлого года было доказано, что более чем 200 правительственных сайтов отображали данные из системы Aadhaar. Агентству UIDAI пришлось в этом признаться, когда они вынуждены были предоставить соответствующие сведения в ответ на запрос в рамках Права на информацию (RTI).
Генеральный директор UIDAI Аджай Бхушан Пандей неоднократно подчеркивал [30], что разглашение информации о хранящихся в Aadhaar номерах само по себе не представляет значительной опасности, поскольку «номера Aadhaar аналогичны банковским счетам». Тем не менее, в результате, многие граждане оказались уязвимыми перед мошенничеством, в том числе с использованием личных данных, а также перед злоупотреблением власти со стороны корпораций, как это уже произошло в декабре 2017 года, когда гигант телекоммуникаций Airtel без получения осознанного согласия открыл [53] для своих клиентов три миллиона расчётных счетов.
[54]Скриншот страницы сайта Агентства Индии по уникальной идентификации (UIDAI), содержащий предупреждение не заниматься публичным распространением уникальных номеров Aadhar.
Несмотря на скандальность ситуации, утечки продолжаются [55]. Данная тенденция не прошла мимо внимания экспертов по технологиями обеспечения конфиденциальности. Недавно профессор Грэм Гринлиф охарактеризовал инцидент как один из наиболее «опасных развитий событий в области конфиденциальности» в мире:
World's most dangerous privacy development? Tough call between India's Aadhaar and China's Social Credit System. But India still has its Supreme Court, Constitution and the Puttaswamy Case to provide hope – China has not. @abli [56]@ICDPPCSec [57]https://t.co/2YViL5dKad [58]
— Graham Greenleaf (@grahamgreenleaf) January 9, 2018 [59]
Опаснейшее развитие событий в области конфиденциальности? Непростой выбор между индийским Aadhaar и китайской Системой социального кредита. Но в Индии до сих пор даёт надежду наличие Верховного суда, Конституции и процесса Путтасвами — тогда как в Китае нет ничего из этого.
Хотя действия UIDAI внушают мало оптимизма, последняя надежда возлагается на решение Верховного суда Индии, последнее заседание которого для прослушивания петиций по Aadhaar прошло [60] 17 января 2018 года.