印度國家身份認證系統Aadhaar資料庫泄露，已在210個政府網站上公開

近日，根據印度唯一身份認證管理局（Unique Identification Authority of India，簡稱UIDAI）證實稱，印度國家身份認證系統Aadhaar發生數據泄漏事件，導致超過210個政府網站上公開暴露了Aadhaar用戶的詳細信息，包括用戶的姓名、家庭住址、Aadhaar 號碼、指紋與虹膜掃描以及其他敏感個人信息等。

關於Aadhaar

2010年9月，世界上最龐大最複雜的生物身份識別系統（UID，又稱Aadhaar項目）在印度馬哈拉施特拉邦一個部族村落里宣布啟動。該項目由印度身份管理局（UIDAI）執行，截止2017年2月28日，該項目已經針對其全國11.2億人實施了生物識別數據採集（包括照片、十指指紋以及虹膜掃描等），為每個印度居民提供一個獨一無二的12位身份證明編號。政府可以根據Aadhaar身份識別卡實現以下功能：

將銀行賬戶與具體人員（尤其是窮人）進行聯繫，直接將現金收益或相關補貼轉到受益人的銀行賬戶中；n使用電子匯款方式，有針對性地發放助學金、獎學金、退休金、失業補貼、糧食補貼、醫療補貼、災害補貼、定點扶貧、農業保險、燃氣補貼以及婦女兒童專有補貼等，確保公共福利定員定向發放；n使數億窮人獲得身份證明，能夠到銀行開戶、申請駕照、申請培訓、申請就業，最大限度為市民提供享有社會福利的便利；n中央政府和邦政府能夠通過網路資料庫，隨時進行有效決策，以公民需求為核心進行治理，實時監督福利支出發放情況；n使政府部門直接與公民進行溝通，進行人口和發展規劃，確保稀缺資源更加公平的分配給有需要的人；n

可以說，Aadhaar項目對印度的社會發展具有廣泛的意義，所以，為了強推這個項目，印度政府早已下令強制該國公民必須在2017年12月31日之前將Aadhaar號碼與自己的銀行賬戶、手機號碼、保險賬戶、永久性賬號卡（PAN Card）以及其他服務綁定起來。

但是，Aadhaar身份認證卡在帶來便利的同時，也存在一定的隱患和挑戰，其中最重要的就是數據和隱私安全。可以說，一旦發生數據泄漏，其帶來的直接和間接損失都將是難以彌補的。

針對此次數據泄漏事件，Aadhaar卡的發行機構印度身份識別管理局（UIDAI）也已經進行了證實，並表示已經在泄漏事件剛剛發生後不久，就從這些網站上刪除了相關的數據，但並沒有說明事件發生和持續的時間，以及受影響的具體網站名稱和受影響的具體人數等相關細節。

儘管UIDAI並且公開透露Aadhaar數據泄漏事件的細節，但是研究人員已經在中央政府和州政府部門（包括教育機構）的210個網站上發現了相關用戶的數據，其中涉及他們的名字、地址、Aadhaar號以及其他個人信息等。

UIDAI的發言人表示，

目前，各種安全策略和程序都已經確定，我們將定期對Aadhaar系統進行安全審查與更新，以及適當地控制與監測內外人員、材料以及數據進出UIDAI場所的行為，特別是其在數據中心的流動情況，以確保用戶數據安全。

雖然，Aadhaar體系結構旨在確保數據的安全和隱私性。但是，事實證明，它遠沒有自身宣稱的那般安全。此次數據泄漏事件已經不是Aadhaar號碼首次遭到泄露了。

早在今年7月份，印度運營商Reliance Jio也同樣經歷了大規模用戶數據泄露事件，致使超過1億用戶的個人資料公開暴露在http://Magicapk.com網站上，其中包括姓名、手機號碼、電子郵箱地址以及Aadhaar號碼。

本文翻譯自：http://securityaffairs.co/wordpress/65758/data-breach/uidai-aadhaar-data-leak.html，如若轉載，請註明原文地址： http://www.4hou.com/info/news/8603.html 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀：