Gadgetshowto
A questo punto, nessuno dovrebbe essere sorpreso delle violazioni dei dati di Aadhaar, ma un rapporto esclusivo di ZDNet afferma che la privacy e la sicurezza di ogni singolo titolare di carta Aadhaar in India sono potenzialmente minacciate. La principale lacuna di sicurezza è l'ultima a interessare il controverso database di ID che è stato dimostrato più volte di essere soggetto a un grave difetto di sicurezza dopo l'altro.
Secondo l'ultimo rapporto sullo stato da incubo della sicurezza di Aadhaar, Karan Saini, un ricercatore di sicurezza informatica con sede a Nuova Delhi ha apparentemente scoperto una vulnerabilità che può consentire a chiunque di accedere a informazioni private su tutti i possessori di Aadhaar, esponendo i loro nomi, unici 12- cifre ID numeri, informazioni sui dettagli bancari, i servizi a cui sono collegati e altro ancora. Chiaramente, i muri di 13 piedi non funzionavano.
Secondo quanto riferito, la fonte della fuga di dati è una società di servizi pubblici anonima, che utilizza un'API non protetta per accedere al database di Aadhaar, mettendo a rischio la privacy e la sicurezza non solo dei propri clienti, ma potenzialmente di tutti i 1,1 miliardi di titolari di Aadhaar nel paese..
Secondo Saini, "L'endpoint dell'API ... non dispone di controlli di accesso, (e) l'endpoint interessato utilizza un token di accesso hardcoded, che, una volta decodificato, si traduce in" INDAADHAARSECURESTATUS ", consentendo a chiunque di interrogare i numeri di Aadhaar sul database senza alcuna autenticazione aggiuntiva".
L'API non ha alcun limite di velocità in atto, consentendo a un utente malintenzionato di scorrere ogni permutazione - potenzialmente trilioni - di numeri Aadhaar e ottenere informazioni ogni volta che viene raggiunto un risultato positivo
Il blog afferma di aver contattato il consolato indiano a New York per discutere delle rivelazioni di Saini e di aver contattato il console per il commercio e le dogane, Devi Prasad Misra. Tuttavia, nonostante le risposte a diverse domande di follow-up nelle due settimane successive, la vulnerabilità non è stata ancora risolta.
Finalmente all'inizio di questa settimana, ZDNet dice di aver informato Mishra che la storia sarebbe stata pubblicata venerdì (24 marzo), ma non ha mai ricevuto risposta dalle autorità indiane. Secondo il blog, il problema persiste, motivo per cui non ha pubblicato i dettagli esatti sulle vulnerabilità, incluso il nome dell'utilità gestita dallo stato e l'URL dell'endpoint API vulnerabile.
![Geek vs. Nerd [Infografica]](https://gadgetshowto.com/storage/img/images/geek-vs-nerds-[infographic]_2.jpg)
