印度生物辨識身分證資料庫外洩？11億國民個資賤價盜賣

【2018.1.05 印度】

印度生物辨識身分證資料庫外洩？11億國民個資賤價盜賣

錄存10億國民指紋、虹膜等生物特徵的印度生物辨識身分證系統「Aadhaar」，4日驚傳嚴重的資安漏洞。印度旁遮普《論壇報》獨家揭露，指其記者透過網路管道，10分鐘內就能以500盧比（新台幣233元）購買到Aadhaar的「後門金鑰」，毫無限制地存取全印度11億登錄國民的個人資料——甚至再加購300盧比（新台幣140元），就能盜印晶片身分證、冒充他人遊走四方。然而報導傳出後，負責的印度身分證管理局（UIDAI）卻大動作地出聲反駁，反控《論壇報》寫假新聞，「我們的系統不可能被滲透，就算有非法盜用，也稱不上是『資料庫外洩』！」

這場震驚印度的國安風波，始於《論壇報》本月3日的一篇獨家報導。過去數月來，該報記者不斷在社群網路上聽聞Aadhaar的資安漏洞，並透過Whatsapp聯繫到了販售後門金鑰的「匿名群組」。

報導敘述，整起交易過程不到十分鐘，記者才剛用Paytm（印度的線上第三方支付平台）轉帳500盧比後，隨即收到了帳密，只要透過後門連結，就能輕易登入Aadhaar的資料庫，全印度11億登陸戶的姓名、照片、手機、住址...全都一覽無遺。

《論壇報》表示，在進入資料庫後，接頭的記者又再支付了300盧比，另一匿名「客服」即透過遠端操控，為記者下載足以盜印指定登錄者晶片身分證的特殊資料。簡便到誇張的交易流程，也讓《論壇報》上下大為意外，外洩期間更可能超過半年以上。

交易成功後，《論壇報》也向UIDAI的旁遮普省分局通報漏洞，但地方負責人卻極為震駭地表示「怎麼可能！」。該局副主任表示，記者所取得的資料庫瀏覽權限，在1億1,000萬人口的旁遮普省內，只有他與分局主任擁有密碼，每次的登錄都還要都還需要兩人的指紋與虹膜資料方能進入，「如果報導為真，那這可是極為嚴重的國安事件！」

隨後，旁遮府分局也緊急向UIDAI中央呈報事件；但UIDAI總部，卻反過頭來指控《論壇報》胡亂報導，強烈否認Aadhaar系統存在漏洞危機。

UIDAI表示，要使用Aadhaar系統必會自動留下登入紀錄，但資安單位在檢查之後，並沒有找到如同《論壇報》所言的「異常登入狀況」。因此現階段，當局非常懷疑「該篇報導的真實性」。

此外UIDAI也強調，就算系統「遭遇問題」，不法組織也只取得了一般的個資權限，Aadhaar系統中，最關鍵的虹膜與指紋資料庫「一樣很安全」，未有外流或遭到修改的跡象。至於盜印晶片身分證，則可能是製卡承包商遭解約後的非法行為。

UIDAI表示，在沒有拿到生物辨識資料的狀況下，一般的戶籍個資「用途不大」，因此整起風波，「只能說是『不當使用』，根本稱不上是資安外洩！」然而這樣的說法，卻遭到《論壇報》與印度輿論的譴責，並稱UIDAI根本是在「硬拗」、掩飾一再出包的資安問題。

於2009年正式上路的印度生物辨識身分證系統，一開始採取自願登錄的鼓勵模式，只要參加計畫，就能將自己的生物資料連結於一串12位數的身分證號碼上，之後只要透過生物掃描，就能確認身分，並以此申請政府救濟、金融貸款，甚至還能用指紋驗證代替電子錢包。

目前全印度99%人口、超過11.6億國民，都已將自己的照片、指紋、虹膜辨識資料登錄於Aadhaar這全球最大的國民資料庫中。但除了一般的金融與政府服務外，目前就連申請手機門號、買火車票，都需要登陸Aadhaar號碼。

印度政府表示，推動生物辨識身分證的目的，是為了給予中下階層跨區登錄的「法律地位」，並藉此協助政府整合社會資源，避免救濟濫用與冒用人頭的狀況一再發生；然而反對團體卻質疑，生物資料庫的建立給了政府太多權力，透過Aadhaar的紀錄，個人的信貸、行蹤、生活習觀都將曝光在在國家機器的全面監視下，而這些資料卻又輕易地被政府轉交給電子商務公司使用，往來之間爭議始終不曾斷絕。