A Jio adatszivárgás javított online biztonsági keretet igényel

A Reliance Jio adatsértésről, amelyet a médiában széles körben beszámoltak az indiai telekommunikációs ipar egyik legnagyobb adatsértéséről, amely minden bizonnyal az egyik legjelentősebb személyes információs adattörés az iparágakban is.

Miközben az adatvédelmi aktivisták és az érintett polgárok aktívan vitatkoznak az Aadhaar kártyával kapcsolatos biztonsági kérdésekről, a magicapk.com több millió Jio előfizető adatbázisát tárta fel, amely tartalmazza nevét, mobilszámát, e-mail azonosítóját és Aadhaar számát.

Bár az Aadhaar-szám nem volt elérhető a weboldalon a csapkodás bejelentésekor, ennek egy üres paramétere volt, ami sokan azt hitték, hogy a hackereknek lehet Aadhaar-kártya száma.

További információk a hírekben: Az új JioFi felhasználók 224 GB-os adathoz juthatnak: Így lehet igénybe venni az ajánlatot

A webhely ma inaktív, de úgy gondolják, hogy 2017. június 9-én, körülbelül 18 órakor (IST) lépett életbe, és a címsorterjesztés után hamarosan leállították a weboldalt.

A Reliance a hackot "autentikusnak" tekinti

Egy korábbi nyilatkozatában a Reliance nyilvánvalóan az adatok szivárgását „hitelesnek” nevezte, és biztosította előfizetőik számára, hogy „adataik biztonságban vannak és a legmagasabb szintű biztonsággal vannak fenntartva”.

Miközben spekulációk merültek fel arról, hogy csak a Reliance Jio korai előfizetőinek adatai szivárogtak - ezt a jelentésünk is megerősíti -, az Indian Express jelentése azt állítja, hogy „a múlt héten vásárolt számok részletei megtalálhatók a webhelyen”.

Tekintettel arra, hogy a Reliance Jio jelenleg az ország 120 millió előfizetőjétől északra van, az ügyfelek száma, akiknek az adatait feltörik, tízezer millióban vagy még ennél is több lehet.

Hogyan befolyásolja a szivárgás?

Míg azoknak az embereknek az Aadhaar-kártya száma, akiknek adatai megjelentek az adatbázisban, nem álltak rendelkezésre, a keresztnév, a középnév, a vezetéknév, a mobilszám, az e-mail azonosító, a kör azonosítója, valamint a SIM aktiválásának dátuma és ideje szabadon elérhető volt. És ehhez csak egy Jio telefonszámra volt szükség, hogy ezeket az információkat letöltse.

Legtöbbünk számára ez az információ, még ha a nyilvánosan megosztott is, nem tűnik ártalmasnak, de sok spam híváshoz és üzenethez vezethet a mobiltelefonszámán, és adathalász támadásokhoz vezethet az e-mail azonosítójával szemben.

A jelenlegi „magicapk-Jio szivárgás” nem adott ki olyan Aadhaar-információt, amelyről tudomásunk van, de itt a legfontosabb szempont az Aadhaar biometrikus szivárgásának lehetősége és annak következményei.

Melyek a nagyobb következmények? Aadhaar Biometrics!

Noha nem volt arra utaló jel, hogy a Jio-ügyfelek Aadhaar-adatai kiszivárogtak a magicapk.com feltörésében és szivárgásában, a kormánynak szigorú iránymutatásokat kell kidolgoznia egy új és robusztus biztonsági keret végrehajtására, különös tekintettel azon szervezetek számára, amelyeknek Aadhaar-információra van szükségük állampolgár.

Mivel az Aadhaar kártya nemcsak személyes információkat, hanem több mint egymilliárd indiai polgár biometrikus adatait is hordozza, nem vitatható az a tény, hogy az információkat biztonságosan kell őrizni.

A biometrikus adatok, például az ujjlenyomatok nem előnyösek, de nagyrészt az emberek adatainak azonosítására és biztonságára szolgálnak - ideértve ma okostelefonjainkat és laptopjainkat is.

Szélsőséges esetekben, ha egy személy Aadhaar-adatait ellopták, ugyanazok a biometrikus adatokból származó ujjlenyomatok felhasználhatók az említett személy bűncselekménybe vonására azáltal, hogy a lopott ujjlenyomatokat a bűncselekmény helyszínére ültetik.

További hírek: Az Aadhaar Integration már elérhető a Skype Lite-on: Hogyan kell használni?

Noha ez valószínűleg vonzónak tűnik, a megfelelő biztonsági keret hiánya lehetővé teszi bárki számára eszközöket és ismereteket a mélyhálóról, ahol ezeket az információkat névleges áron értékesítik.

Noha a kormány már megoldást kínál a biometria biztonságához az UIDAI webhelyen, amely lehetővé teszi a profiljának „biometrikus zárolását” - megakadályozza a biometrikus adatot a potenciális visszaélésekkel szemben -, ez el is zárja Önt az Aadhaarba integrált szolgáltatások használatából, amelyek biometrikus hitelesítésre szorulnak..

„Ez a rendszer lehetővé teszi a lakosok számára biometria lezárását és ideiglenes feloldását. Ennek célja a lakosság biometrikus adatainak magánéletének és titkosságának védelme ”- olvasható az UIDAI weboldalán.

Az Aadhaar és a több szolgáltatás összekapcsolása növeli a biztonsági rést

Az Aadhaar vitathatatlanul arra törekszik, hogy hozzáadott kényelmet nyújtson polgárainak, miközben hozzáfér a szolgáltatásokhoz, de biztonságos online keret hiányában az Aadhaar adatait a hackerek támadásainak is kitéve teszi.

Mivel az embereknek össze kell kapcsolniuk Aadhaar-adataikat annak érdekében, hogy percek alatt korlátozhatatlanul hozzáférhessenek egy szolgáltatáshoz, az is fontos, hogy a szóban forgó szolgáltató biztonságos keretet tartson fenn az ügyfelek által szolgáltatott adatok tárolására, miközben összekapcsolja Aadhaar-adatait.

Hatékony biztonsági intézkedések hiányában az elkövető könnyebben hozzáférhet az Aadhaar adataihoz, mivel az adatok beszerzésének lehetősége annyival növekszik, hogy hányszor kapcsolja össze az Aadhaar adatait egy egyedi szolgáltatóval.

Egy másik érvényes érv, amelyet a The Wire egy jelentés előterjesztett, hogy az Aadhaar adatbázist tároló szerverek DDoS támadással is megtámadhatók, amelyek számos alapvető szolgáltatást eredményezhetnek, amelyek az Aadhaarhoz kapcsolódnak, és amelyek elérhetetlenné válnak.

Az elmúlt néhány hónap során a kormány olyan meghajtókat kezdeményezett, amelyeknek integrálniuk kell az Aadhaar-számot a szolgáltatóval az előnyök kihasználása érdekében - néhány esetben az integrációt kötelezővé téve.

További hírek: Itt lehet az Aadhaar összekapcsolása a PAN kártyával

És mivel egyre több távközlési szolgáltató kéri az Aadhaar ID összekapcsolását a mobil számokkal, a kormánynak biztonságos keretre vonatkozó iránymutatásokat kell végrehajtania, amelyeket mindezen vállalatoknak be kell tartaniuk ahhoz, hogy megvásárolhassák és megtarthassák a Aadhaar adatok biztonságos.

Nem kétséges, hogy egy milliárd plusz személy és az egyre növekvő polgárok személyazonosságának hitelesítésére szolgáló egységes adatbázis létrehozása és az alapvető szolgáltatásokkal való integrálása egy szerveztebb adminisztrációs rendszert alkot, sokkal kevesebb tévedéssel - a legutóbbi malware támadások fényében -, fontos, hogy a kormány komolyan veszi az érzékeny adatbázis biztonságát, hogy elkerülje a digitális korszak súlyos baleseteit.