UIDAI mówi, że raporty o hakowaniu oprogramowania Aadhaar są „niepoprawne” i „nieodpowiedzialne”

Opublikowany: 2018-09-12

Pojawiły się raporty, że oprogramowanie kosztujące zaledwie 35 USD (2500 INR) umożliwia nieuprawnionym osobom generowanie numerów Aadhaar do woli

UIDAI twierdzi, że wszystkie zarejestrowane dane biometryczne osoby – 10 odcisków palców i dwie tęczówki – są kojarzone z danymi w systemie i weryfikowane przed wydaniem 12-cyfrowego numeru identyfikacyjnego

UIDAI twierdzi, że zastosował środki ochronne, w tym dostarczył ustandaryzowane oprogramowanie, które szyfruje wszystkie dane przed zapisaniem ich na dowolnym dysku

Nawet gdy Sąd Najwyższy bada konstytucyjną ważność ustawy Aadhaar, unikalny system tożsamości, który rejestruje dane ponad 1 miliarda Indian, pozostaje podatny na naruszenia bezpieczeństwa.
Ostatnio pojawiły się doniesienia, że ​​baza danych Aadhaar może zostać naruszona za pomocą taniej poprawki oprogramowania, kosztującej zaledwie 35 USD (2500 INR), która wyłącza krytyczne funkcje bezpieczeństwa używane do rejestrowania nowych użytkowników. Jednak unikalny organ identyfikacyjny Indii (UIDAI) odrzucił raporty jako „całkowicie nieprawidłowe i nieodpowiedzialne” i stwierdził, że żaden operator nie może dokonywać ani aktualizować wpisów Aadhaar, chyba że dana osoba dostarczy swoje dane biometryczne.
HuffPost India w raporcie z 11 września twierdził, że „łatka – dostępna bezpłatnie za około 35 USD (2500 INR) – pozwala nieupoważnionym osobom z dowolnego miejsca na świecie generować liczby Aadhaar do woli i nadal jest szeroko rozpowszechniona. posługiwać się."
W raporcie dodano, że poprawka omija krytyczne funkcje bezpieczeństwa, takie jak biometryczne uwierzytelnianie operatorów rejestracji i wbudowana funkcja bezpieczeństwa GPS oprogramowania rejestracyjnego w celu generowania nieautoryzowanych numerów Aadhaar. Poprawka rzekomo zmniejsza czułość systemu rozpoznawania tęczówki w oprogramowaniu do rejestracji, ułatwiając fałszowanie oprogramowania za pomocą zdjęcia zarejestrowanego operatora, zamiast wymagać od operatora osobistej obecności.
Następnie UIDAI w serii tweetów stwierdził, że twierdzenie, iż wpisy mogą zostać wprowadzone do bazy danych Aadhaar, jest całkowicie bezpodstawne, ponieważ wszystkie dane biometryczne osoby — 10 odcisków palców i dwie tęczówki — są porównywane z danymi już w systemie i zatwierdzane przed wydaniem niepowtarzalnego 12-cyfrowego numeru identyfikacyjnego.
Stwierdzono, że dane biometryczne i inne parametry operatora są sprawdzane przed rejestracją lub aktualizacją i dopiero po pomyślnym zakończeniu wszystkich kontroli są one przetwarzane dalej.
Ponadto UIDAI twierdził, że podjął środki ochronne, w tym zapewnił standardowe oprogramowanie, które szyfruje wszystkie dane nawet przed zapisaniem ich na dowolnym dysku, chroni dane za pomocą zabezpieczenia przed manipulacją, identyfikuje każdego operatora w „każdej” rejestracji i identyfikuje każdego tysięcy maszyn korzystających z unikalnego procesu rejestracji maszyny, który zapewnia śledzenie każdego zaszyfrowanego pakietu.
„Nawet w hipotetycznej sytuacji, w której przy jakiejś manipulacyjnej próbie podstawowe parametry, takie jak biometria operatora lub biometria rezydenta, nie są uchwycone, zamazane, a taki pakiet rejestracji/aktualizacji duchów jest wysyłany do UIDAI, to samo jest identyfikowane przez solidny system zaplecza UIDAI i wszystkie takie pakiety rejestracyjne są odrzucane i nie jest generowany żaden Aadhaar. Ponadto odpowiednie automaty rejestracyjne i operatorzy są identyfikowani, blokowani i na stałe umieszczani na czarnej liście z systemu UIDAI. W odpowiednich przypadkach składane są również skargi na policję za takie oszukańcze próby” – powiedział UIDAI.
Dodał, że podobne zarzuty zostały postawione przed Sądem Najwyższym (SC), gdy ława konstytucyjna rozpoznała sprawę Aadhaar, a UIDAI odpowiedział na nie w tym czasie.

KN rozpoczął swoje ostateczne przesłuchanie w sprawie konstytucyjnej ważności ustawy Aadhaar w styczniu, po czym w marcu 2018 r. skład pięciu sędziów KN zwrócił się do UIDAI o przygotowanie prezentacji PowerPoint w celu zidentyfikowania luk w ustawie Aadhaar z 2016 r. i rozwiązania problemu obawy związane z bezpieczeństwem danych gromadzonych przez UIDAI.

Dyrektor generalny UIDAI, Ajay Bhushan Pandey, podczas prezentacji przed Sądem Najwyższym, wyjaśnił, że wszystkie dane osobowe przechowywane przez Aadhaar są zaszyfrowane i nie można ich zhakować . Dalej twierdził, że „złamanie jednego szyfrowania zajęłoby więcej niż wiek wszechświata”.

UIDAI powiedział również, że operatorzy, którzy naruszają jego rygorystyczne procesy rejestracji i aktualizacji lub dopuszczają się nieuczciwych lub korupcyjnych praktyk, są blokowani i umieszczani na czarnej liście oraz nakładani karą finansową w wysokości do 1 Lakh za instancję.
„To z powodu tego rygorystycznego i solidnego systemu, jak do tej pory, ponad 50 000 operatorów zostało umieszczonych na czarnej liście” – dodał UIDAI.
Rozwój nastąpił w czasie, gdy pojawiły się doniesienia, że ​​dane osobowe — nazwiska, numer PAN, numery dowodu wojskowego — nieujawnionej liczby żołnierzy zostały ujawnione i okazały się publicznie dostępne na stronach internetowych biur płac i księgowości ministerstwa obrony. zlokalizowanych na terenie całego kraju.

Wcześniej UIDAI nakazał stosowanie rozpoznawania twarzy w usługach takich jak wydawanie mobilnych kart SIM, usługi bankowe, wypłaty z publicznego systemu dystrybucji oraz oznaczanie obecności w urzędach państwowych.

Polecany dla Ciebie:

Jak platforma agregacji kont RBI ma zmienić fintech w Indiach
Zasoby

Jak platforma agregacji kont RBI ma przekształcić fintech w Indiach

Przedsiębiorcy nie mogą tworzyć zrównoważonych, skalowalnych startupów poprzez „Jugaad”: CEO CitiusTech
Aktualności

Przedsiębiorcy nie mogą tworzyć zrównoważonych, skalowalnych start-upów poprzez „Jugaad”: Cit...

Jak Metaverse zmieni indyjski przemysł motoryzacyjny?
Zasoby

Jak Metaverse zmieni indyjski przemysł motoryzacyjny?

Co oznacza przepis anty-profitowy dla indyjskich startupów?
Zasoby

Co oznacza przepis anty-profitowy dla indyjskich startupów?

W jaki sposób startupy Edtech pomagają w podnoszeniu umiejętności i przygotowują pracowników na przyszłość
Zasoby

W jaki sposób start-upy Edtech pomagają indyjskim pracownikom podnosić umiejętności i być gotowym na przyszłość...

Aktualności

Akcje New Age Tech w tym tygodniu: Kłopoty Zomato nadal, EaseMyTrip publikuje Stro...

W tym samym czasie sąd najwyższy w Delhi wysłucha apelu o odszkodowanie od władz za rzekome niepodjęcie odpowiednich środków bezpieczeństwa, które doprowadziły do ​​kontrowersyjnych wycieków danych Aadhaar.

Wkrótce spodziewane jest również rozstrzygnięcie Sądu Najwyższego w sprawie kwestionującej konstytucyjną ważność Aadhaar.