Myšlienka vytvorenia univerzálneho systému identity prepojeného s biometriou znie ako niečo, čo by v budúcnosti mala väčšina inteligentných národov. Prima facie je úloha monumentálna a bezpečnosť musí byť prvoradá.
A ak táto databáza ID spája aj citlivé bankové údaje každého zaregistrovaného občana a tiež ich primárne mobilné čísla, musí byť bezpečnosť okolo toho oveľa prísnejšia.
Nanešťastie pre Indiu je zabezpečenie databázy také slabé, že hackovanie je ako zatĺcť klinec kladivom. Je to príliš veľa sily na prácu, ktorú možno vykonať za mizernú sumu 500 Rs, bez kúska hackerského know-how. Najväčšou obavou je, ako sa Aadhaar zmenil na nástroj štátneho dohľadu.
Milióny Indov sa musia obávať o Aadhaar, a to nielen z jedného alebo dvoch dôvodov. Je to celý rad problémov pre program národnej identity Indie. Dovoľte mi, aby som vás previedol krátkou históriou Aadhaaru, počnúc bodom, keď začali zvoniť varovné zvony.
Veľmi krátka história
Aadhaar bol koncipovaný ako univerzálny ID systém čo by umožnilo občanom využívať vládne služby bez potreby viacerých preukazov totožnosti a bez použitia sprostredkovateľov. Zámerom bolo znížiť trenie, ktoré doteraz brzdilo rast digitálneho hospodárstva a riadenia, a zároveň odstrániť bolesť prostredníkov alebo byrokratov, o ktorých sa predpokladalo, že sú hlavným dôvodom korupcie a verejných financií sprenevera. Na papieri bola táto myšlienka veľkolepá, hoci už v prvých dňoch sa objavili obavy o súkromie - obavy, ktoré sa nakoniec ukázali ako pravdivé.
Začalo to hladko, ale deravý proces registrácie občanov viedol k miliónom falošných kariet Aadhaar a vláda mala ďalší problém. Falošné karty Aadhaar by mohli zločinci ľahko prepojiť so skutočnými bankovými účtami, aby odčerpali prostriedky z bankového účtu prepojeného s Aadhaar. Okrem toho použitím falošných kariet Aadhaar ako dôkazu totožnosti pre nové mobilné čísla by sa trestná činnosť mohla ľahko maskovať.
Indická vláda bola teda nútená urobiť nový krok. Tentoraz to prinútilo občanov, aby prepojili bankové účty s Aadhaarom, aby zastavili takéto podvodné prepojenia. A podobne je to aj s mobilnými číslami.
Problém však siahal oveľa hlbšie ako len jednoduché falošné karty Aadhaar, najmä keď sa skutočné údaje Aadhaar zobrazovali nahé nahé vládnymi webovými stránkami pre takmer každého.
Vládne úniky Aadhaar
In máj 2017, správa z Centrum pre internet a spoločnosť, ktoré odhalilo, že údaje Aadhaar o viac ako 130 miliónoch ľudí, vrátane bankových účtov s počtom viac ako 100 miliónov ľudí unikol vládnymi webovými stránkami v dôsledku implementácie slabých bezpečnostných opatrení.
Je zábavné, že dokonca aj formulár žiadosti bývalého kapitána indického kriketu Aadhaar, MS Dhoni, sa nepodarilo vyhnúť únikom informácií z roku 2017, ktoré skutočne posunuli otázku ochrany osobných údajov do národného centra pozornosti.
Pane, hovorím o aplikácii, ktorá bola tweetovaná spolu s obrázkom @CSCegov_pic.twitter.com/EHYwzfzfKR
— Sakshi Singh 🇮🇳❤️ (@SaakshiSRawat) 28. marca 2017
Potom v júla 2017, mesiac, keď sa pre Aadhaara nestalo nič mimoriadne dobré, z ktorého bol obvinený absolvent IIT Kharagpur hackovanie do databázy Aadhaar UIDAI využitím zraniteľností v inom vládnom projekte, aplikácii Digital India. Ako uvidíme, toto však nie je prvá aplikácia súvisiaca s Aadhaarom, ktorú možno ľahko hacknúť.
Telcos zneužíva Aadhaar
Indovia však už museli prepojiť bankové a mobilné čísla so svojím Aadhaarom. Táto otázka vyvolala obrovskú kontroverziu kvôli jej povinnej povahe a spochybnila legitímnosť Aadhaaru.
Tiež v júla minulého rokumala webová stránka s názvom „magicapk.com“. unikol osobné údaje približne 120 miliónov predplatiteľov Jio, ktorí si aktivovali pripojenie Jio pomocou svojej karty Aadhaar počas ranej fázy vstupu telekomunikačného operátora na trh. Polícia v Maháráštre zatkla v údajnom spojení s týmto únikom počítačových kurzov z Rádžastánu, ale odvtedy sa na verejnosť nedostalo veľa vecí.
In decembra 2017, úhlavný rival spoločnosti Jio Airtel sa dostal pod skener ochrany osobných údajov Aadhaar. UIDAI musel pozastaviť proces overovania e-KYC e-KYC založený na Aadhaar pre Airtel a jeho bankovú pobočku po tom, čo sa zistilo, že Airtel používal údaje zákazníka Aadhaar e-KYC predložené na overenie SIM karty na otvorenie účtu Airtel Payments Bank pre viac ako 3 mil. zákazníkov bez ich „informovaný súhlas“.
Falošné karty Aadhaar
Niekoľko mesiacov pred napomenutím Airtelu, v september 2017, ďalší úplne očakávaný incident ešte viac pošpinil Aadhaarov obraz. Uttar Pradesh Special Task Force (STF) zatkli gang zločincov, ktorí sa podieľali na výrobe falošných kariet Aadhaar (jedinečné identifikačné čísla, ktokoľvek). Ich spôsob, ako to urobiť? No, gang hackol nastavenia biometrického zabezpečenia UIDAI prostredníctvom klonovaných skenov odtlačkov prstov. Samotný UIDAI bol nútený zrušiť privilégium prístupu k databáze viac ako 5 000 určeným úradníkom kvôli správam o predaji údajov Aadhaar za mizerné sumy.
Vládne úniky pokračujú
Okolo novembra 2017 sa stanovisko proti Aadhaarovi skutočne začalo šíriť po množstve bezpečnostných chýb a porušení údajov. Ale to bol len začiatok. Zistilo sa, že ďalších 200 vládnych a štátnych webových stránok má verejne uvedené osobné údaje Príjemcovia Aadhaar na neznáme časové obdobie pred odstránením, čo mal aj UIDAI do pripustiť.
500 Rs za miliardu ID
Najznepokojujúcejšia udalosť, ktorá odhalila tvrdenia UIDAI o tom, že jej databáza je „vysoko zabezpečená“, bola nahlásená v januára 2018. Tribune vykonal operáciu bodnutia, kde sa to zistilo stačí zaplatiť Rs. 500 na prístup k viac ako miliarde čísel Aadhaardoteraz vytvorené spolu s ďalšími osobnými údajmi, ktoré sú s nimi spojené.
Vláda bola po celý čas v režime popierania, napriek tomu, že ľudia, ktorí tento podvod údajne prevádzkovali, tvrdili opak. Po veľkom tlaku bolo odpoveďou prísť s virtuálnym ID, ktoré možno v niektorých prípadoch použiť namiesto čísla Aadhaar.
Aplikácia mAadhaar Torn Apart
Virtuálne ID by bolo povolené pomocou Mobilné riešenie Aadhaar od UIDAI – aplikácia mAadhaar. Ale to bol ďalší prípad zlej technológie a kybernetickej bezpečnosti.
The #Aadhaar#Android aplikácia ukladá vaše biometrické nastavenia do lokálnej databázy, ktorá je chránená heslom. Na vygenerovanie hesla použili náhodné číslo s 123456789 ako základ a pevne zakódovaný reťazec db_password_123 🤦♂️ pic.twitter.com/Ty7cPmOjAb
— Baptiste Robert (@fs0c131y) 10. januára 2018
Okrem neupraveného používateľského rozhrania, náhodných a častých pádov bolo desivejšie závažné bezpečnostné nedostatky.
Nezávislý bezpečnostný výskumník Baptiste Robert, ktorý na Twitteri tweetuje ako @fs0c131y a vystupuje pod prezývkou Elliot Alderson (obaja podľa TV Mr Robot), poukázal na veľmi plytké bezpečnostné opatrenia implementované v aplikácii mAadhaar pre Android, ktorú je možné otvoriť s relatívne ľahším prístupom k dôležitým biometrickým údajom a osobným povereniam takmer každej osoby.
Chyba v úradníkovi #Aadhaar#Android aplikácie. V predvolenom nastavení aplikácia požaduje heslo pre každú akciu. V nastaveniach môžete túto ochranu heslom deaktivovať.
Vynúteným ukončením aplikácie pri deaktivácii tohto mechanizmu nemusíte zadávať heslo. pic.twitter.com/HJ8PqyIXS1
— Baptiste Robert (@fs0c131y) 16. januára 2018
Teraz mi to dovoľte povedať veľmi jasne. Databáza UIDAI nie je dostatočne posilnená, aby odvrátila útoky hackerov. Ani aplikácia mAadhaar, ktorá je tiež plná základných zraniteľností. Robert ďalej poukázal na ďalšie nedostatky vrátane vážnych problémov s inštaláciami WordPress na doménach súvisiacich s Aadhaar.
Okrem toho vzniesol niekoľko vážnych obvinení, ktoré musí UIDAI alebo iný príslušný orgán v Indii ešte vyvrátiť. Táto nejasná a slabá bezpečnostná infraštruktúra okolo kritického vládneho programu má vážne dôsledky pre všetkých Indov.
Oficiálne #Aadhaar#Android aplikácia posiela SMS na overenie používateľa. Vo všeobecnosti, aby ste sa vyhli zneužitiu, pridáte limit rýchlosti odosielania. Pred opätovným odoslaním SMS musí používateľ počkať 2 minúty. @UIDAI neimplementovali tento druh limitu v aplikácii. Aké sú dôsledky?
— Baptiste Robert (@fs0c131y) 22. januára 2018
O tom, ako ich využili #Hračkárstvo účet, som si celkom istý, že nedokážu aktualizovať oficiálny #Aadhaar#Android pretože stratili uvoľňovací kľúč. Prosím @UIDAIUkáž mi, že sa mýlim.
— Baptiste Robert (@fs0c131y) 14. januára 2018
Útočník bude môcť zaplaviť všetko #India obyvateľov a @UIDAI príde o veľa peňazí.
.@UDAI nebuď hlúpy, odstráň úradníka #Aadhaar#Android aplikácia z PlayStore, toto je ten najlepší krok, aký máte.
— Baptiste Robert (@fs0c131y) 22. januára 2018
A ako keby ruky UIDAI už neboli plné, regulačný úrad pridal do repertoáru biometrických bezpečnostných kľúčov Aadhaar ďalší spôsob overenia identity – rozpoznávanie tváre.
Možno nie som jediný, kto si to myslí, ale používanie rozpoznávania tváre znie ako začiatok a drakonický systém, kde sú ID neustále kontrolované a overované automatizovanými procesmi a s podporou AI kamery. Toto je stav dozoru, pred ktorým nás mnohí varovali. Už sa to deje v Číne, kde menšiny a ich pohyby sú sledované s kamerami poháňanými AI.
UIDAI pridalo rozpoznávanie tváre ako dodatočné opatrenie, aby bolo výhodné pre ľudí, ktorí nemôžu použiť svoje odtlačky prstov alebo skeny dúhovky na autentifikáciu, ale ak to tak bolo, prečo by to bolo povinné?
Zriedkakedy bývalí šéfovia spravodajských služieb a ja súhlasím, ale šéf indického RAW píše #Aadhaar je zneužívané bankami, telekomunikačnými spoločnosťami a dopravou nie na policajné oprávnenia, ale ako zástupca identity – nesprávna brána k službe. Takéto požiadavky musia byť kriminalizované. https://t.co/rRSn42XLlQ
— Edward Snowden (@Snowden) 21. januára 2018
Na čo je to teda dobré?
Toto sú len mnohé z vážnych otázok okolo Aadhaara, z ktorých prebehne mráz po chrbte každému občanovi, ktorý sa obáva o svoje súkromie v Indii. Zabudnite, súkromie, slabá implementácia zabezpečenia Aadhaar je pozvánkou pre najmenej sofistikovaných hackerov na svete, aby prišli a odobrali naše finančné, osobné a demografické údaje.
Aadhaar začal ako ambiciózny projekt práve z tohto dôvodu. Obavy o súkromie a bezpečnosť vláda zmietla a dokonca aj teraz, keď sú niektoré klamstvá odhalené otvorená, nezdržala sa falošných tvrdení a sľubov o efektívnosti, výhodách a bezpečnosti systém. Situácia je taká zlá, že mnohí sa pýtajú, či by jej úplné vyradenie nebolo tou lacnejšou možnosťou.
Z ekonomického aj logického hľadiska bude zbavenie sa Aadhaara problémom. Obrovské množstvo zdrojov vynaložených na prevoz Aadhaaru z mestských priestorov do najodľahlejších dedín v krajine pôjde dole vodou. Po druhé, nebude ľahké vyčistiť rozsiahlu vyrovnávaciu pamäť údajov súvisiacich s touto schémou – online údaje môžu byť veľmi zriedkavo úplne vymazané, najmä ak sú aktívne už toľko rokov.
Zatiaľ to vyzerá ako klasická dilema. A tak sa Indovia čudujú, aký je presne osud ich Aadhaarských životov. V súčasnosti sa prejednáva veľký prípad v Najvyšší súd by mohol rozhodnúť o Aadhaarovom konečnom osudea rozsah, v akom sa dá použiť na autentifikáciu, využívanie základných služieb a na elektronickú verejnú správu. Aadhaar sa zmenil z nositeľa vlajky vládneho úsilia o digitalizáciu na najväčšiu nočnú moru Indie.
Odporúčané články
