تعمل حكومة الولاية الهندية على إصلاح الخلل في موقع الويب الذي كشف عن أرقام وبصمات أصابع Aadhaar
يقول باحث أمني إن خللًا في موقع ويب حكومة ولاية هندية كشف عن غير قصد عن وثائق تحتوي على أرقام Aadhaar الخاصة بالمقيمين وبطاقات الهوية ونسخ من بصمات أصابعهم.
تم إصلاح الخلل في الأسبوع الماضي بعد أن كشف الباحث الأمني عن الخلل للسلطات المحلية.
اكتشف سوراجيت ماجومدر الخلل في بوابة الويب الإلكترونية للمنطقة الإلكترونية التابعة لحكومة ولاية البنغال الغربية والتي تسمح لسكان الولاية بالوصول إلى الخدمات الحكومية عبر الإنترنت، مثل الحصول على شهادات الميلاد والوفاة وإنشاء التطبيقات. وقال ماجومدر إن الخلل في موقع الويب يعني أنه من الممكن الحصول على سندات ملكية الأراضي، التي تحتوي على سجلات حول مالكي قطعة أرض، من موقع المنطقة الإلكترونية عن طريق تخمين أرقام طلبات سندات الملكية المتسلسلة.
أرقام تعريف التطبيق هي أرقام فريدة مكونة من 16 رقمًا تصدرها حكومة الولاية عندما يتقدم أحد المقيمين المحليين بطلب للحصول على نسخة رقمية من سند الملكية.
نسخة غير واضحة جزئيًا من سند ملكية الأرض لأحد سكان ولاية البنغال الغربية المكشوفة.
لم يكن كل رقم تعريف التطبيق صالحًا. إن استخدام الأدوات المتاحة للجمهور مثل Burp Suite لتحليل حركة مرور الشبكة داخل وخارج موقع الويب يعني أن Majumder يمكنه التنقل عبر قوائم كاملة من أرقام التطبيقات التسلسلية واستخدام الاستجابات من الخادم لتحديد ما إذا كان رقم تعريف التطبيق صالحًا.
من خلال الوصول إلى رقم تعريف الطلب، يمكن لأي شخص لديه تسجيل دخول إلى نظام المنطقة الإلكترونية الوصول إلى نسخة من سند ملكية الأرض. يحتوي اثنان من سجلات صكوك الأراضي التي اطلعت عليها TechCrunch على أسماء الأفراد المشاركين في صك الملكية، وصورهم الفوتوغرافية، ومجموعة كاملة من بصمات الأصابع من كلتا يديهم. ليس من غير المألوف رؤية عدة أفراد في عمل واحد.
وتحتوي الوثائق أيضًا على وثائق هوية الأفراد الصادرة عن الحكومة، بما في ذلك أرقام Aadhaar السرية الخاصة بهم، والتي يتم تخصيصها لكل مواطن كجزء من الهوية الوطنية الهندية وقاعدة بيانات القياسات الحيوية. أرقام Aadhaar مطلوبة للوصول إلى الخدمات المصرفية وخطط الهاتف الخليوي والعديد من الخدمات الحكومية.
أبلغ ماجومدر فريق الاستجابة لطوارئ الكمبيوتر الهندي، والمعروف باسم CERT-In، وحكومة ولاية البنغال الغربية، عن ثغرة موقع الويب، خوفًا من إمكانية إساءة استخدام الثغرة الأمنية لاحتيال الهوية. تم إصلاح الخلل بعد فترة وجيزة.
من غير المعروف ما إذا كان أي شخص آخر غير Majumder اكتشف الخطأ. ولم يرد ممثلو حكومة ولاية البنغال الغربية وفريق الاستجابة لحالات الطوارئ في حالات الطوارئ (CERT-In) على طلبات للتعليق. يقول موقع المنطقة الإلكترونية التابع لحكومة ولاية البنغال الغربية إنه عالج أكثر من 17 مليون طلب حتى الآن، على الرغم من أنه من غير المعروف عدد الطلبات المتعلقة بسندات ملكية الأراضي.
أفادت وسائل الإعلام المحلية عن ارتفاع في الآونة الأخيرة في عمليات الاحتيال المرتبطة بالسرقة المزعومة للمعلومات البيومترية، والتي يقال إن المجرمين يستخدمونها لإفراغ الحسابات المصرفية.
