Gadgetshowto
À l'heure actuelle, personne ne devrait être surpris des violations de données d'Aadhaar, mais un rapport exclusif de ZDNet indique que la confidentialité et la sécurité de chaque titulaire de carte Aadhaar en Inde sont potentiellement menacées. Le défaut de sécurité majeur est le dernier à affecter la base de données d'identifiants controversée qui s'est avérée à maintes reprises sujette à une faille de sécurité majeure après l'autre..
Selon le dernier rapport sur l'état cauchemardesque de la sécurité d'Aadhaar, Karan Saini, un chercheur en cybersécurité basé à New Delhi a apparemment découvert une vulnérabilité qui peut permettre à quiconque d'accéder à des informations privées sur tous les détenteurs d'Aadhaar, exposant leurs noms, uniques 12- numéros d'identification numérique, informations sur leurs coordonnées bancaires, les services auxquels ils sont connectés, etc. Clairement, les murs de 13 pieds ne fonctionnaient pas.
La source de la fuite de données serait une société de services publics anonyme, qui utilise une API non sécurisée pour accéder à la base de données Aadhaar, mettant en péril la confidentialité et la sécurité non seulement de ses propres clients, mais potentiellement des 1,1 milliard de détenteurs d'Aadhaar dans le pays..
Selon Saini, "Le point de terminaison de l'API ... n'a aucun contrôle d'accès en place, (et) le point de terminaison affecté utilise un jeton d'accès codé en dur, qui, une fois décodé, se traduit par" INDAADHAARSECURESTATUS ", permettant à quiconque d'interroger les numéros Aadhaar par rapport à la base de données sans aucune authentification supplémentaire".
L'API n'a pas de limitation de débit en place, ce qui permet à un attaquant de parcourir chaque permutation - potentiellement des milliards - de nombres Aadhaar et d'obtenir des informations chaque fois qu'un résultat réussi est atteint.
Le blog affirme avoir contacté le consulat indien à New York pour discuter des révélations de Saini, et avoir pris contact avec le consul pour le commerce et les douanes, Devi Prasad Misra. Cependant, malgré la réponse à plusieurs questions de suivi au cours des deux prochaines semaines, la vulnérabilité n'a toujours pas été corrigée..
Enfin, au début de cette semaine, ZDNet dit avoir informé Mishra que l'histoire serait publiée vendredi 24 mars, mais n'a jamais eu de réponse des autorités indiennes par la suite. Selon le blog, le problème persiste, c'est pourquoi il n'a pas publié les détails exacts des vulnérabilités, y compris le nom de l'utilitaire géré par l'état et l'URL du point de terminaison de l'API vulnérable.
![Amazon - L'histoire de l'intérieur [Infographie]](https://gadgetshowto.com/storage/img/images/amazon-the-inside-story-[infographic]_2.gif)