Největší systém biometrické digitální identifikace na světě, indický Aadhaar, právě utrpěl největší únik dat v historii

V Indii probíhalo zavádění digitální identity (ID) pod názvem Aadhaar v režii Billa Gatese, který tehdy ubezpečoval, že celý systém je velmi bezpečný a nehrozí únik dat.

Nyní se ukazuje, že tomu tak není –  a mělo by to být zároveň i varováním pro Evropu, neboť aktuálně zaváděné EU ID je založeno na stejném principu.

Mnoho lidí se už třese na to, aby si zřídili svoji vlastní ID v mobilu, přitom nemají žádnou jistotu, že nejen jejich biometrická data, ale i vše další, co bude v budoucnu ID zahrnovat, se nedostane do nesprávných rukou.

Máte-li veškerá data o své osobě na jednom místě, pak je samozřejmě mnohem jednodušší se k nim dostat. A podobné hackerské akce budou obzvláště lákavé poté, co bude ID propojena s digitální měnou – CBDC…

Zdá se, že zhruba 10 % světové populace byly jedním tahem zcizeny nejcennější osobní identifikační údaje (PII). Přesto Aadhaar nadále sklízí pochvaly ze Silicon Valley i EU.

Anonymní hacker tvrdí, že prolomil digitální identifikační čísla a další citlivé osobní údaje přibližně 815 milionů indických občanů.

Abychom toto číslo uvedli do perspektivy, je to více než 60 % z 1,3 miliardy Indů zapsaných do vládního programu biometrické digitální identity Aadhaar a zhruba 10 % celé světové populace. Díky tomuto úniku – podle Hindustan Times největšímu v historii země – jsou nyní osobní údaje stovek milionů Indů k mání na dark netu, a to za pouhých 80 000 dolarů.

Pro registraci karty Aadhaar musí obyvatelé Indie poskytnout základní demografické informace, včetně jména, data narození, věku, adresy a pohlaví, jakož i biometrické informace, včetně deseti otisků prstů, dvou skenů oční bulvy a fotografie obličeje.

Velká část těchto dat byla zjevně zcizena.

Zprávy v médiích naznačují, že zdrojem úniku byly údaje o testech na Covid-19 Indické rady pro lékařský výzkum (ICMR), které jsou spojeny s číslem Aadhaar každého jednotlivce.

Poplach jako první spustila losangeleská společnost Resecurity, která se zabývá kybernetickou bezpečností a která 15. října na svém blogu na svých firemních webových stránkách uvedla následující:

9. října zveřejnil aktér hrozeb vystupující pod přezdívkou „pwn0001“ vlákno na fóru Breach Forums, kde zprostředkoval přístup k 815 milionům záznamů „Indian Citizen Aadhaar & Passport.“ Abychom tuto skupinu obětí uvedli do perspektivy, celá indická populace čítá něco málo přes 1,486 miliardy lidí.

Vyšetřovatelé HUNTER navázali kontakt s aktéry hrozby a zjistili, že jsou ochotni prodat celý soubor dat Aadhaar a indických pasů za 80 000 dolarů.

Datová sada, kterou nabízí pwn0001, obsahuje několik polí souvisejících s osobními údaji indických občanů, mimo jiné:

Jméno, jméno otce, telefonní číslo, druhé telefonní číslo, číslo pasu, aadhar číslo, věk, pohlaví, adresa, okres, PIN kód, stát…

Jeden z uniklých vzorků obsahuje 100 000 záznamů o osobních identifikačních údajích (PII) souvisejících s indickými obyvateli.

V tomto ukázkovém úniku analytici společnosti HUNTER identifikovali platná ID karet Aadhaar, která byla potvrzena prostřednictvím vládního portálu, který poskytuje funkci „Ověřit Aadhaar.“

„Tato funkce umožňuje lidem ověřit pravost přihlašovacích údajů Aadhaar,“ uvedla společnost Resecurity…

Resecurity získala 400 000 záznamů a kontaktovala několik obětí, aby si ověřili informace, a také použili funkci „Verify Aadhaar,“ která je k dispozici prostřednictvím oficiálního vládního webového zdroje v Indii.

Napadené oběti ze získaného souboru údajů potvrdily platnost svých údajů a uvedly, že o narušení nebyly nikdy předtím informovány.

Únik takto vysoce citlivých osobních identifikačních údajů (PII) vytváří značné riziko krádeže digitální identity, varuje Security Affairs:

Aktéři hrozeb využívají ukradené informace o identitě k páchání krádeží online bankovnictví, podvodů s vrácením daní a dalších finančních zločinů souvisejících s kybernetickými útoky.

Aktéři  také loví data Aadhaaru s cílem špionáže a vlivových kampaní, které využívají podrobné poznatky o indické populaci.

Společnost Resecurity zaznamenala prudký nárůst incidentů týkajících se identifikačních kódů Aadhaar a jejich úniku na podzemní fóra kyberzločinců, kteří se snaží poškodit indické státní příslušníky.

Aadhaar (hindsky „nadace“) je 12místné číslo jedinečné identity (UID) vydané vládou po potvrzení biometrických a demografických údajů osoby.

Byl spuštěn v roce 2012 jako součást iniciativy, jejímž cílem je poskytnout každému obyvateli Indie jedinečné identifikační číslo, a jedná se o největší systém digitální identity na planetě, přičemž do roku 2021 bylo ID vydáno 92 % indické populace.

Údajně byl vytvořen, aby poskytoval lidem bez identifikace formální vládní průkaz totožnosti a také zakročil proti duplicitním, falešným nebo ukradeným průkazům totožnosti, které se používají k využívání vládních programů a sociálních programů.

A rychle si získal zájem a chválu od elitních kruhů po celém světě, včetně Silicon Valley.

Více jste si o indickém systému ID a jeho zavádění za asistence Billa Gatese, mohli přečíst zde.