• Homepage
  • Articoli
  • Tech
  • UIDAI afferma che i rapporti sull'hacking del software Aadhaar sono "errati" e "irresponsabili"

UIDAI afferma che i rapporti sull'hacking del software Aadhaar sono "errati" e "irresponsabili"

Pubblicato: 2018-09-12

Sono emerse notizie secondo cui un software che costa solo $ 35 (INR 2.500) consente a persone non autorizzate di generare numeri Aadhaar a piacimento

L'UIDAI afferma che tutti i dati biometrici registrati di una persona - 10 impronte digitali e due iridi - sono abbinati a quelli nel sistema e convalidati prima che venga emesso un numero di identità a 12 cifre

UIDAI afferma di aver adottato misure di salvaguardia, inclusa la fornitura di un software standardizzato che crittografa tutti i dati prima di salvarli su qualsiasi disco

Anche se la Corte Suprema esamina la validità costituzionale dell'Aadhaar Act, il sistema di identità unico che registra i dati di oltre 1 miliardo di indiani rimane vulnerabile alle violazioni della sicurezza.
Di recente, sono emerse segnalazioni secondo cui il database di Aadhaar potrebbe essere compromesso con una patch software economica che costa solo $ 35 (INR 2500) che disabilita le funzionalità di sicurezza critiche utilizzate per registrare nuovi utenti. Tuttavia, l'Autorità di identificazione unica dell'India (UIDAI) ha respinto i rapporti come "completamente errati e irresponsabili" e ha affermato che nessun operatore può inserire o aggiornare le voci Aadhaar a meno che un individuo non fornisca i suoi dettagli biometrici.
L'HuffPost India in un rapporto dell'11 settembre ha affermato che "La patch - disponibile gratuitamente per un minimo di circa $ 35 (INR 2500) - consente a persone non autorizzate, con sede in qualsiasi parte del mondo, di generare numeri Aadhaar a piacimento ed è ancora diffusa uso."
Il rapporto ha aggiunto che la patch ignora le funzionalità di sicurezza critiche come l'autenticazione biometrica degli operatori di registrazione e la funzione di sicurezza GPS integrata del software di registrazione per generare numeri Aadhaar non autorizzati. La patch presumibilmente riduce la sensibilità del sistema di riconoscimento dell'iride del software di registrazione, rendendo più facile falsificare il software con la fotografia di un operatore registrato, piuttosto che richiedere la presenza dell'operatore di persona.
A seguito di ciò, l'UIDAI in una serie di Tweet ha affermato che l'affermazione che le voci potrebbero essere introdotte nel database di Aadhaar è completamente infondata perché tutti i dati biometrici di una persona - 10 impronte digitali e due iridi - vengono confrontati con quelli già presenti nel sistema e convalidati prima che venga emesso un numero di identità univoco di 12 cifre.
Ha affermato che i dati biometrici e altri parametri di un operatore vengono controllati prima di un'iscrizione o di un aggiornamento e solo dopo che tutti i controlli hanno avuto esito positivo vengono elaborati ulteriormente.
Inoltre, l' UIDAI ha affermato di aver adottato misure di salvaguardia, inclusa la fornitura di un software standardizzato che crittografa tutti i dati anche prima di salvarli su qualsiasi disco, la protezione dei dati mediante la prova di manomissione, l'identificazione di ciascuno degli operatori in "ogni" iscrizione e l'identificazione di ognuno di migliaia di macchine che utilizzano un unico processo di registrazione della macchina, che assicura che ogni pacchetto crittografato venga tracciato.
“Anche in una situazione ipotetica in cui, per qualche tentativo manipolativo, parametri essenziali come la biometria dell'operatore o la biometria del residente non vengono catturati, offuscati e un tale pacchetto di iscrizione/aggiornamento fantasma viene inviato all'UIDAI, lo stesso viene identificato dal robusto sistema di backend di UIDAI e tutti questi pacchetti di registrazione vengono rifiutati e non viene generato alcun Aadhaar. Inoltre, le macchine di iscrizione interessate e gli operatori sono identificati, bloccati e inseriti nella black list permanentemente dal sistema UIDAI. Nei casi appropriati, vengono presentate anche denunce alla polizia per tali tentativi fraudolenti", ha affermato UIDAI.
Ha aggiunto che accuse simili sono state avanzate dinanzi alla Corte Suprema (SC) quando l'Ufficio per la Costituzione ha ascoltato il caso Aadhaar e l'UIDAI ha risposto ad esse in quel momento.

Il comitato di vigilanza ha avviato la sua udienza finale per la validità costituzionale dell'Aadhaar Act a gennaio, a seguito della quale, a marzo 2018, il collegio di cinque giudici del comitato di vigilanza aveva chiesto all'UIDAI di preparare una presentazione powerpoint al fine di identificare le lacune nell'Aadhaar Act 2016 e affrontare le perplessità relative alla sicurezza dei dati raccolti dall'UIDAI.

Il CEO di UIDAI Ajay Bhushan Pandey, presentandosi davanti alla Corte Suprema, aveva spiegato che tutti i dati personali archiviati da Aadhaar sono crittografati e non possono essere hackerati . Ha continuato affermando che "ci vorrebbe più dell'età dell'universo per rompere una crittografia".

L'UIDAI ha anche affermato che gli operatori trovati a violare i suoi rigorosi processi di registrazione e aggiornamento o indulgere in pratiche fraudolente o corrotte sono bloccati e inseriti nella lista nera e riscossi con una sanzione pecuniaria fino a INR 1 Lakh per istanza.
"È a causa di questo sistema rigoroso e robusto che ad oggi più di 50.000 operatori sono stati inseriti nella lista nera", ha aggiunto l'UIDAI.
Lo sviluppo arriva in un momento in cui sono emerse notizie secondo cui i dati personali - nomi, numero PAN, numeri di identificazione militare - di un numero sconosciuto di soldati sono trapelati e sono stati trovati pubblicamente disponibili sui siti Web degli uffici paghe e contabili del ministero della Difesa situato in tutto il paese.

In precedenza, l'UIDAI ha imposto l'uso del riconoscimento facciale per servizi come l'emissione di SIM mobili, servizi bancari, erogazioni di sistemi di distribuzione pubblica e marcatura delle presenze in ufficio presso gli uffici governativi.

Raccomandato per te:

In che modo l'Account Aggregator Framework di RBI è destinato a trasformare il fintech in India
Risorse

In che modo l'Account Aggregator Framework di RBI è destinato a trasformare il fintech in India

Gli imprenditori non possono creare startup sostenibili e scalabili attraverso "Jugaad": CEO di CitiusTech
Notizia

Gli imprenditori non possono creare startup sostenibili e scalabili attraverso "Jugaad": Cit...

Come Metaverse trasformerà l'industria automobilistica indiana
Risorse

Come Metaverse trasformerà l'industria automobilistica indiana

Cosa significa la disposizione anti-profitto per le startup indiane?
Risorse

Cosa significa la disposizione anti-profitto per le startup indiane?

In che modo le startup Edtech stanno aiutando il potenziamento delle competenze e a rendere la forza lavoro pronta per il futuro
Risorse

In che modo le startup Edtech stanno aiutando la forza lavoro indiana a migliorare le competenze e a diventare pronte per il futuro...

Notizia

Azioni tecnologiche new-age questa settimana: i problemi di Zomato continuano, EaseMyTrip pubblica stro...

Allo stesso tempo, l'Alta corte di Delhi ascolterà una richiesta di risarcimento danni dall'autorità per la presunta mancata adozione di adeguate misure di sicurezza che hanno portato alla controversa fuga di dati di Aadhaar.

A breve è attesa anche la decisione della Corte Suprema nel caso di contestazione della validità costituzionale di Aadhaar.