דליפת נתונים של ג'יו קוראת למסגרת אבטחה מקוונת משופרת

הפרת נתונים של Reliance Jio שדווחה בהרחבה בתקשורת כאחת מהפרות הנתונים הגדולות ביותר בתעשיית הטלקום בהודו, שהיא, ככל הנראה, אחת מפריצות המידע הגדולות ביותר של מידע אישי גם בענפים בהודו.

בעוד שפעילי פרטיות ואזרחים מודאגים מתלבטים באופן פעיל בנושאי האבטחה באמצעות כרטיס Aadhaar, magicapk.com חשף מאגר נתונים של כמה מיליוני מנויים של ג'יו שכולל את שמם, מספר הטלפון הנייד שלהם, מזהה דוא"ל ומספר Aadhaar.

אף על פי שמספר Aadhaar לא היה זמין באתר בעת הדיווח על הפריצה, פרמטר ריק עבור אותו היה, מה שגרם לרבים להאמין שההאקר עשוי להיות ברשות מספרי הכרטיסים של Aadhaar.

עוד בחדשות: משתמשי JioFi חדשים שיכולים לקבל נתונים עד 224 ג'יגה-בייט: הנה כיצד ניתן להשתמש בהצעה

האתר אינו פעיל אך ככל הנראה עלה לחיים ב- 9 ביוני 2017, בסביבות השעה 18:00 (IST) וזמן קצר לאחר שהגיע לכותרות, האתר הוסר.

ההסתמכות רואה את ההאק 'לא אמיתי'

בהצהרה קודמת, Reliance מיתגה באופן בוטה את דליפת הנתונים כ"בלתי אמיתית "והבטיחה למנויים שלהם כי" הנתונים שלהם בטוחים ומתוחזקים בביטחון הגבוה ביותר ".

אמנם היו השערות כי נתונים של רק המנויים המוקדמים של Reliance Jio הודלפו - אושרו על ידי הדו"ח שלנו ב- - אולם דוח של Indian Express טוען כי "פרטי המספרים שנקנו בסוף השבוע שעבר נמצאים באתר".

בהתחשב בכך ש- Reliance Jio מונה כיום צפונה ל -120 מיליון מנויים במדינה, מספר הלקוחות שהנתונים שלהם נפרצו עשוי לרוץ בעשרות מיליונים ואף יותר.

איך הדליפה משפיעה עלי?

אמנם מספר כרטיס Aadhaar של האנשים שמידעיהם הופיעו בבסיס הנתונים לא היה זמין, אך שם פרטי, שם אמצעי, שם משפחה, מספר טלפון נייד, מזהה דוא"ל, מזהה מעגל ותאריך ושעה להפעלת SIM היו זמינים בחופשיות. וכל מה שהיה צריך בכדי להביא מידע זה הוא מספר טלפון של ג'יו.

לרובנו, מידע זה גם אם הוא משותף באופן ציבורי אינו נראה כמזיק, אך עלול להוביל להרבה שיחות והודעות דואר זבל במספר הטלפון הנייד שלך והתקפות דיוג במזהה הדוא"ל שלך.

"דליפת הקסם-ג'י-ג'ו" הנוכחית לא הוציאה מידע כלשהו אודות Aadhaar שאנו מודעים אליו, אך הנקודה העיקרית שיש לציין כאן היא האפשרות של דליפת ביומטריה של Aadhaar והשלכותיו.

מהן ההשלכות הגדולות יותר? Aadhaar ביומטריה!

למרות שלא הייתה שום אינדיקציה לכך שפרטי Aadhaar של לקוחות ג'יו הודלפו בגרעין והדליפה של magicapk.com, הממשלה צריכה לשים הנחיות קפדניות ליישום מסגרת אבטחה חדשה וחזקה, במיוחד עבור ארגונים הזקוקים למידע אודות Aadhaar של אזרח.

מכיוון שכרטיס Aadhaar לא רק נושא מידע אישי, אלא גם נתונים ביומטריים של יותר ממיליארד אזרחים הודים, אין עוררין על כך שצריך לשמור את המידע בצורה מאובטחת.

ביומטריה כמו טביעות אצבעות אינן אפשרות עדיפה, אך לרוב משתמשים בהן כדי לזהות וגם לאבטח את הנתונים של אנשים - כולל הסמארטפונים והמחשבים הניידים שלנו בימינו.

במקרים קיצוניים, אם נתוני Aadhaar של אדם נגנבים, ניתן להשתמש באותם טביעות אצבעות מהביומטריה כדי להסב את האדם האמור בפשע על ידי נטיעת טביעות האצבע הגנובות בזירת הפשע.

עוד בחדשות: שילוב Aadhaar זמין כעת בסקייפ לייט: כיצד להשתמש בו

אמנם זה אולי נראה מופרך, אך היעדר מסגרת אבטחה טובה יאפשר זאת לכל מי שיש לו אמצעים וידע באינטרנט העמוק בו מידע כזה נמכר במחיר סמלי.

בעוד שלממשלה כבר יש פיתרון לאבטחת הביומטריה שלך באתר UIDAI המאפשר 'נעילה ביומטרית' בפרופיל שלך - מניעת השימוש הביומטרי שלך בפגיעה אפשרית - הדבר גם ינעול אותך משימוש בשירותים מסוימים המשולבים באדהאר הזקוקים לאימות ביומטרי..

"מערכת זו תאפשר לתושב לנעול ולפתוח באופן זמני את הביומטריה שלהם. זה כדי להגן על פרטיות וסודיות הנתונים הביומטריים של התושבים ", נכתב באתר UIDAI.

קישור Aadhaar לשירותים מרובים מגדיל את הפגיעות

Aadhaar מכוונת לכאורה לספק נוחות נוספת לאזרחיה תוך גישה לשירותים, אך בהיעדר מסגרת מקוונת מאובטחת, היא גם משאירה את נתוני Aadhaar פגיעים להתקפות מצד האקרים.

מכיוון שאנשים נדרשים לקשר בין מידע Aadhaar שלהם על מנת לקבל גישה בלתי מוגבלת לשירות תוך דקות ספורות, חשוב גם שספק השירות המדובר ישמור על מסגרת בטוחה לאחסון הנתונים המסופקים על ידי הלקוחות תוך קישור בין Aadhaar שלהם.

בהיעדר אמצעי אבטחה אפקטיביים, הופך קל יותר למבצע העבירה לגישה לפרטי Aadhaar ככל שהאפיקים להשיג את הנתונים גדלים במספר הפעמים שאדם קשר את פרטי Aadhaar שלו לספק שירות ייחודי.

טענה תקפה נוספת שהועלתה על ידי דוח ב- The Wire היא כי ניתן לאתגר גם את השרתים המחזיקים בבסיס הנתונים של Aadhaar באמצעות מתקפת DDoS, מה שעלול לגרום למספר שירותים חיוניים המקושרים לאאדהאר להיות בלתי זמינים.

במהלך החודשים האחרונים הממשלה יזמה כוננים שצריכים לשלב את מספר Aadhaar שלך עם ספק השירות כדי להפיק את היתרונות - מה שהופך את השילוב לחובה במקרים ספורים.

עוד בחדשות: להלן קישור קישור Aadhaar עם כרטיס PAN

וכעת כאשר מספר גדל והולך של מפעילי טלקום מבקשים לקשר את תעודת הזהות של אדאר עם מספרים ניידים, הממשלה צריכה ליישם הנחיות למסגרת בטוחה שכל החברות הללו יצטרכו לעמוד בהן בכדי שתוכל להשיג ולהחזיק את נתוני Aadhaar מאובטחים.

אין ספק שיצירת בסיס נתונים מאוחד לאימות זהותם של מיליארדי הפלוס והצומח שלו ושילובו עם שירותים חיוניים, תהווה מערכת ניהול מסודרת יותר עם תקלות פחותה בהרבה - לאור מתקפות התוכנה הזדוניות האחרונות - חשוב ש הממשלה מתייחסת ברצינות לאבטחת מאגר מידע רגיש זה כדי להימנע מפורענות גדולה בעידן הדיגיטלי.