Wyciek danych Jio wymaga ulepszonych ram bezpieczeństwa online

Naruszenie danych Reliance Jio, które zostało szeroko zgłoszone w mediach jako jedno z największych naruszeń danych w branży telekomunikacyjnej w Indiach, które, najprawdopodobniej, jest jednym z największych włamań do danych osobowych w różnych branżach w Indiach.

Podczas gdy działacze prywatności i zaniepokojeni obywatele aktywnie debatują nad kwestiami bezpieczeństwa związanymi z kartą Aadhaar, magicapk.com ujawniło bazę danych kilku milionów subskrybentów Jio, która zawiera ich imię i nazwisko, numer telefonu komórkowego, identyfikator e-mail i numer Aadhaar.

Chociaż numer Aadhaar nie był dostępny na stronie internetowej w momencie zgłoszenia hackowania, pusty parametr dla tego samego był, co doprowadziło wielu do przekonania, że ​​haker może być w posiadaniu numerów kart Aadhaar.

Więcej w wiadomościach: Nowi użytkownicy JioFi uzyskają do 224 GB danych: oto jak skorzystać z oferty

Witryna jest obecnie nieaktywna, ale prawdopodobnie została uruchomiona 9 czerwca 2017 r., Około 18.00 (IST), a wkrótce potem trafiła na pierwsze strony gazet.

Reliance uważa hack za „nieautentyczny”

We wcześniejszym oświadczeniu Reliance wyraźnie oznaczyło wyciek danych jako „nieautentyczny” i zapewniło swoich subskrybentów, że „ich dane są bezpieczne i utrzymywane z najwyższym poziomem bezpieczeństwa”.

Chociaż pojawiły się spekulacje, że wyciekły dane tylko pierwszych subskrybentów Reliance Jio - potwierdzone przez nasz raport w - raport Indian Express twierdzi, że „szczegóły dotyczące liczb zakupionych jeszcze w zeszłym tygodniu są dostępne na stronie”.

Biorąc pod uwagę, że Reliance Jio ma obecnie na północ 120 milionów subskrybentów w tym kraju, liczba klientów, których dane zostały zhakowane, może działać w dziesiątkach milionów, a nawet więcej.

Jak wpływa na mnie wyciek?

Chociaż numer karty Aadhaar osób, których informacje pojawiły się w bazie danych, nie był dostępny, imię, drugie imię, nazwisko, numer telefonu komórkowego, identyfikator e-mail, identyfikator kręgu oraz data i godzina aktywacji karty SIM były dostępne bezpłatnie. A wszystko, co było potrzebne do pobrania tych informacji, to numer telefonu Jio.

Dla większości z nas te informacje, nawet jeśli są udostępniane publicznie, nie wydają się szkodliwe, ale mogą prowadzić do wielu połączeń spamowych i wiadomości na Twój numer telefonu komórkowego oraz ataków phishingowych na Twój identyfikator e-mail.

Obecny „wyciek magicapk-Jio” nie ujawnił żadnych informacji Aadhaar, o których wiemy, ale głównym punktem, na który należy tutaj zwrócić uwagę, jest możliwość wycieku biometrycznego Aadhaar i jego implikacje.

Jakie są większe konsekwencje? Aadhaar Biometrics!

Chociaż nic nie wskazuje na to, że dane Aadhaar dotyczące klientów Jio zostały ujawnione podczas włamania i wycieku strony magicapk.com, rząd musi wprowadzić surowe wytyczne w celu wdrożenia nowych i solidnych ram bezpieczeństwa, szczególnie dla organizacji, które potrzebują informacji o Aadhaar na temat obywatel.

Ponieważ karta Aadhaar zawiera nie tylko dane osobowe, ale także dane biometryczne ponad miliarda obywateli Indii, nie ma wątpliwości, że informacje muszą być bezpiecznie przechowywane.

Dane biometryczne, takie jak odciski palców, nie są preferowaną opcją, ale są w dużej mierze wykorzystywane do identyfikowania i zabezpieczania danych osób - w tym naszych smartfonów i laptopów.

W skrajnych przypadkach, jeśli dane Aadhaar osoby zostaną skradzione, te same odciski palców z danych biometrycznych mogą zostać wykorzystane do wszczepienia tej osoby w przestępstwo poprzez umieszczenie skradzionych odcisków palców na miejscu przestępstwa.

Więcej informacji: Integracja Aadhaar jest teraz dostępna na Skype Lite: jak z niej korzystać

Choć może się to wydawać zbyt daleko idące, brak dobrych ram bezpieczeństwa umożliwi to każdemu, kto ma środki i wiedzę na temat głębokiej sieci, w której takie informacje są sprzedawane za nominalną cenę.

Chociaż rząd ma już rozwiązanie zabezpieczające Twoje dane biometryczne na stronie internetowej UIDAI, które umożliwia „blokadę biometryczną” w Twoim profilu - zapobiegając potencjalnemu niewłaściwemu wykorzystaniu danych biometrycznych - uniemożliwi to również korzystanie z niektórych usług zintegrowanych z Aadhaar, które wymagają uwierzytelnienia biometrycznego.

„Ten system umożliwi Residentowi zablokowanie i tymczasowe odblokowanie danych biometrycznych. Ma to na celu ochronę prywatności i poufności danych biometrycznych Resident ”- czytamy na stronie UIDAI.

Łączenie Aadhaar z wieloma usługami zwiększa podatność

Prawdopodobnie Aadhaar ma na celu zapewnienie obywatelom dodatkowego komfortu podczas uzyskiwania dostępu do usług, ale przy braku bezpiecznych ram internetowych, naraża również dane Aadhaar na ataki hakerów.

Ponieważ ludzie są zobowiązani do połączenia swoich informacji Aadhaar w celu uzyskania nieograniczonego dostępu do usługi w ciągu kilku minut, ważne jest również, aby dany dostawca usług utrzymywał bezpieczną strukturę do przechowywania danych dostarczonych przez klientów podczas łączenia ich informacji Aadhaar.

Wobec braku skutecznych środków bezpieczeństwa sprawcy uzyskują łatwiejszy dostęp do danych Aadhaar, ponieważ możliwości pozyskiwania danych wzrastają o liczbę przypadków, gdy dana osoba powiązała swoje dane Aadhaar z unikalnym dostawcą usług.

Innym ważnym argumentem wysuniętym przez raport w The Wire jest to, że serwery przechowujące bazę danych Aadhaar mogą zostać również zaatakowane atakiem DDoS, co może spowodować, że wiele niezbędnych usług związanych z Aadhaar stanie się niedostępnych.

W ciągu ostatnich kilku miesięcy rząd zainicjował dyski, które muszą zintegrować Twój numer Aadhaar z usługodawcą, aby skorzystać z korzyści - w kilku przypadkach integracja jest obowiązkowa.

Więcej w wiadomościach: Oto jak połączyć Aadhaar z kartą PAN

A teraz, gdy rosnąca liczba operatorów telekomunikacyjnych prosi o powiązanie Aadhaar ID z numerami komórkowymi, rząd musi wdrożyć wytyczne dotyczące bezpiecznych ram, których wszystkie te firmy będą musiały przestrzegać, aby móc uzyskać i zachować Bezpieczne dane Aadhaar.

Nie ma wątpliwości, że utworzenie ujednoliconej bazy danych w celu uwierzytelnienia tożsamości jej ponad miliarda i rosnących obywateli oraz zintegrowanie jej z niezbędnymi usługami stworzy bardziej zorganizowany system administracji ze znacznie mniejszymi błędami - w świetle ostatnich ataków złośliwego oprogramowania - ważne jest, aby rząd poważnie traktuje bezpieczeństwo tej wrażliwej bazy danych, aby uniknąć poważnej katastrofy w erze cyfrowej.