印度生物辨識身分證資料庫外洩?11億國民個資賤價盜賣
【2018.1.05 印度】 印度生物辨識身分證資料庫外洩?11億國民個資賤價盜賣
錄存10億國民指紋、虹膜等生物特徵的印度生物辨識身分證系統「Aadhaar」,4日驚傳嚴重的資安漏洞。印度旁遮普《論壇報》獨家揭露,指其記者透過網路管道,10分鐘內就能以500盧比(新台幣233元)購買到Aadhaar的「後門金鑰」,毫無限制地存取全印度11億登錄國民的個人資料——甚至再加購300盧比(新台幣140元),就能盜印晶片身分證、冒充他人遊走四方。然而報導傳出後,負責的印度身分證管理局(UIDAI)卻大動作地出聲反駁,反控《論壇報》寫假新聞,「我們的系統不可能被滲透,就算有非法盜用,也稱不上是『資料庫外洩』!」
這場震驚印度的國安風波,始於《論壇報》本月3日的一篇獨家報導。過去數月來,該報記者不斷在社群網路上聽聞Aadhaar的資安漏洞,並透過Whatsapp聯繫到了販售後門金鑰的「匿名群組」。
報導敘述,整起交易過程不到十分鐘,記者才剛用Paytm(印度的線上第三方支付平台)轉帳500盧比後,隨即收到了帳密,只要透過後門連結,就能輕易登入Aadhaar的資料庫,全印度11億登陸戶的姓名、照片、手機、住址...全都一覽無遺。
《論壇報》表示,在進入資料庫後,接頭的記者又再支付了300盧比,另一匿名「客服」即透過遠端操控,為記者下載足以盜印指定登錄者晶片身分證的特殊資料。簡便到誇張的交易流程,也讓《論壇報》上下大為意外,外洩期間更可能超過半年以上。
交易成功後,《論壇報》也向UIDAI的旁遮普省分局通報漏洞,但地方負責人卻極為震駭地表示「怎麼可能!」。該局副主任表示,記者所取得的資料庫瀏覽權限,在1億1,000萬人口的旁遮普省內,只有他與分局主任擁有密碼,每次的登錄都還要都還需要兩人的指紋與虹膜資料方能進入,「如果報導為真,那這可是極為嚴重的國安事件!」
隨後,旁遮府分局也緊急向UIDAI中央呈報事件;但UIDAI總部,卻反過頭來指控《論壇報》胡亂報導,強烈否認Aadhaar系統存在漏洞危機。
UIDAI表示,要使用Aadhaar系統必會自動留下登入紀錄,但資安單位在檢查之後,並沒有找到如同《論壇報》所言的「異常登入狀況」。因此現階段,當局非常懷疑「該篇報導的真實性」。
此外UIDAI也強調,就算系統「遭遇問題」,不法組織也只取得了一般的個資權限,Aadhaar系統中,最關鍵的虹膜與指紋資料庫「一樣很安全」,未有外流或遭到修改的跡象。至於盜印晶片身分證,則可能是製卡承包商遭解約後的非法行為。
UIDAI表示,在沒有拿到生物辨識資料的狀況下,一般的戶籍個資「用途不大」,因此整起風波,「只能說是『不當使用』,根本稱不上是資安外洩!」然而這樣的說法,卻遭到《論壇報》與印度輿論的譴責,並稱UIDAI根本是在「硬拗」、掩飾一再出包的資安問題。
於2009年正式上路的印度生物辨識身分證系統,一開始採取自願登錄的鼓勵模式,只要參加計畫,就能將自己的生物資料連結於一串12位數的身分證號碼上,之後只要透過生物掃描,就能確認身分,並以此申請政府救濟、金融貸款,甚至還能用指紋驗證代替電子錢包。
目前全印度99%人口、超過11.6億國民,都已將自己的照片、指紋、虹膜辨識資料登錄於Aadhaar這全球最大的國民資料庫中。但除了一般的金融與政府服務外,目前就連申請手機門號、買火車票,都需要登陸Aadhaar號碼。
印度政府表示,推動生物辨識身分證的目的,是為了給予中下階層跨區登錄的「法律地位」,並藉此協助政府整合社會資源,避免救濟濫用與冒用人頭的狀況一再發生;然而反對團體卻質疑,生物資料庫的建立給了政府太多權力,透過Aadhaar的紀錄,個人的信貸、行蹤、生活習觀都將曝光在在國家機器的全面監視下,而這些資料卻又輕易地被政府轉交給電子商務公司使用,往來之間爭議始終不曾斷絕。
|
留言