查看原文
其他

实名制为黑客预留了一扇门 印度1.35亿公民信息与1亿条银行账户被泄

2017-05-04 E安全 E安全

更多全球网络安全资讯尽在E安全官网www.easyaq.com


E安全5月4日讯 根据印度互联网与社会中心(简称CIS)的一项调查结果,此次经由4个印度政府门户站点泄露Aadhaar公民身份信息总量或高达1.35亿条,除此之外,还有1亿银行帐户也不慎曝光。

什么是Aadhaar项目?

2010年9月,世界上最庞大最复杂的生物身份识别系统(UID,又称Aadhar计划),在印度马哈拉施特拉邦一个部族村落里宣告启动。该项目由印度身份证管理局执行,作为全球规模最大的生物识别ID系统,截至2017年2月28日,这个印度建立的Aadhaar项目已经采集超过11.23亿人的生物识别数据,包括照片、十指指纹和虹膜扫描,为每个印度居民提供了一个独一无二的12位身份证明编号。

由于该身份证明编号与手机号和银行账户绑定,印度工贸可在网上进入数据库进行身份识别和手机“实时”验证,同时还能享受医疗、社保、培训、申请驾照、就业等服务;政府部门可以有针对性的向居民进行补贴和福利发放,对居民健康情况等进行检测,有效提供医疗和防疫等公共服务,并实现行政流程的实时改进。

Aadhaar信息安全实践遭遇挫败

根据印度互联网与社会中心(简称CIS)近期发布的一份题为《Aadhaar信息安全实践(抑或缺失):Aadhaar号码中敏感个人财务信息文件的公开可用性》的报告所述,此类系统中出现的任何问题都将引发毁灭性的灾难。

这份报告强调了Aahdaar本身所采取的高安全性保障机制,同时警告称允许其它政府机构访问该系统可能导致数据泄露。

这篇研究论文重点介绍了四大政府项目:印度安得拉邦甘地国家级农村就业计划、钱德拉保险项目(Chandranna Bima)、国家社会援助方案以及由印度国家信息中心负责维护的安得拉邦每日“NREGA在线支付报告”门户网站。

CIS方面审查了政府办公室所使用的多套数据库系统,其中包含与涉及个人信息的Aadhaar号码相关的“大量实例”。

根据印度联邦电子信息技术部部长Aruna Sundararajan的说明,Aadhaar内置有一套非常强大的隐私保护条例,但目前仍在推进其具体实施中。

“人们并不知晓众多政府机构正在使用这些敏感数据。因此现在我们需要对民众进行教育,帮助他们意识到Aadhaar数据并不应像现在这样自由发布。”    

根据此份报告的数据显示,目前约有1.35亿条Aadhaar号码及1亿条银行帐户号码可能已经由负责处理政府养老金及农村就业项目的门户网站处外泄。本文源自E安全

这一泄露事故将造成重大后果并“引发潜在且不可逆转的隐私危害”,此类公民信息可能被用于实施多种非法目的。

Sundararajan证实称,印度IT立法机构将在随后的立法修正案当中解决由此类信息发布所造成的安全与隐私问题。

这份报告总结称:

由于缺乏信息安全实践指导,其它同样使用Aadhaar信息以实现直接权益转移(简称DBT)的其它项目也可能造成资料外泄。目前印度已经在基于Aadhaar项目的直接权益转移工作中投入超过2亿3千万卢比,如果众多福利项目以类似的方式处理公民个人数据,那么未来我们很可能面临极为可怕的大规模信息泄露风险。    

Aadhar计划最终会跟韩国“网络实名制”一样名存实亡吗?

印度政府的初衷是为每个印度居民提供了一个不易被冒用的独一无二的12位身份证明编号,在其保障个人数据及身份财产的安全性的基础上,扩大政府惠民工程的深度、广度,以及医疗、就业等公共服务,提高政府服务的效率与精度。

但良好的初衷未必一定带来良好的结果。这不禁让E安全小编联想起韩国曾经的“网络实名制”,以下跟随E安全小编一起回顾一下其始末:

始于“狗屎女”

2005年6月5日,韩国首尔地铁二号线,一名女孩牵的宠物狗在地铁车厢内排便。邻座老人要求女孩清理狗的排泄物,女孩拒不愿意并恶言相向被同车厢网友拍下视频传到网上引起社会公愤。网民发动“人肉”搜索,将女孩的真实姓名、电话、住址、就读学校等个人信息,被公诸于众,并强加“狗屎女”这个不雅称号,最终,女孩被迫公开道歉,之后换上精神病,全家被迫搬家,隐姓埋名。

“狗屎女”事件令韩国民众开始反思网络暴力

2005年7月,雅虎韩国的一项在线用户调查显示,79%的受访者支持网络实名制。韩国政府决定,将网络实名制以立法形式付诸实施。

2005年9月,韩国信息通信部举行听证会,提出在大型门户网站推行有限实名制,用户在这些网站的留言板上发表回复时,有义务使用实名。

2006年,韩国政府着手制定《促进使用信息通信网及信息保护关联法》修正案时,已决定扩大涉及网站的范围。信息通信部官员在描述网络实名制时,语气也与以往不同。韩国《朝鲜日报》引述称,该法律旨在“净化网络文化”,以及“大力治理最近成为韩国社会问题的恶意留言和利用网络侵犯个人隐私现象”。一旦发生法律纠纷,警方可迅速确认用户的真实身份。

2007年,韩国正式实施网络实名制。用户注册登录时须使用真实身份,发布消息可使用化名。

2007年7月,韩国正式推行网络实名制。日均页面浏览量在30万人次以上的门户网站,以及日均页面浏览量在20万人次以上的媒体网站,被要求必须引入身份验证机制,共计35家

转折点:韩国女明星崔真实自杀

2008年10月2日,韩国女明星崔真实在首尔私人寓所的浴室内,以绷带上吊身亡。这起自杀事件被认为与网络谣言直接相关。经过警方调查后发现,崔真实是严重受到“高利贷谣言”的影响。因为在其自杀一个月前,韩国明星安在焕自杀身亡后,韩国某证券公司的两名职员在网上散布消息,称是崔真实向安在焕发放高利贷,间接逼死了安在焕。这一谣言令原本便患有抑郁症的崔真实深受打击,最终走上自杀的道路。

2009年6月16日,首尔中央法院对散布谣言的两名证券公司职员作出审判,以损毁他人名誉等罪名,判处两人有期徒刑10个月,缓期两年执行,并从事社会服务120小时。

尽管崔真实自杀还有别的原因,但网络暴力难辞其咎,引发了一场声讨运动。

之后,韩国政府通过一项修正案,宣布自2009年4月起,网络实名制的应用范围扩展至日均页面浏览量超过10万人次的网站,共计153家。

“实名制”收效甚微

韩国推行网络实名制的初衷,在于减少网上的语言暴力、名誉损坏、侵犯隐私、虚假信息传播等不良行为,促使网民对自己的网络行为负责。而三年后的一份调查数据显示,效果并不理想。

“实名制”实施后,诽谤跟帖数量从13.9%减少到12.2%,仅仅减少了仅1.7个百分点。”调查显示,三分之二曾发布恶意贴的网民对是否使用实名并不在意。出于“法不责众”的心理,他们即便以真实姓名登录,仍会故伎重演,甚至还出现了“身份证伪造器”的软件。

2009年4月,YouTube被指定为实名制对象后,关闭了韩国站的视频上传和留言功能,将用户转往国际站。

2011年3月,韩国放送通信委员将此类网站排除于实名制对象以外,理由是社交网站属私人领域,不适用实名制。至此,网络实名制已名存实亡。而近两年推特(Twitter)、脸书(Facebook)等社交网站风靡韩国。

“网络实名制”,没!

2011年7月。当月,韩国门户网站Nate以及社交网站“赛我网”遭黑客攻击,导致约3500万名用户的个人信息外泄(韩国2010年总人口约为5000万)。被泄露的资料极为详尽,包括姓名、生日、电话、住址、邮箱、密码和身份证号码。

2011年11月,韩国游戏运营商Nexon公司服务器被黑客入侵,导致1300万名用户的个人信息被泄露。

购物网站和企业网站一度被认为是网络实名制的最大受益者之一,它们可以通过身份证号对顾客的性别、年龄和生日等信息进行分类,建立用户数据库,开展有针对性的营销活动。同时,海量用户资料亦成为黑客的盘中餐,引发了一场史无前例的网络安全危机。被泄露的个人信息,有可能被不良商家利用,从事电话营销,发送广告邮件,更可能导致账号盗用、侵犯隐私、电话诈骗等难以预料的恶劣后果。

事发一个月后,韩国政府首次表态将逐步废止网络实名制。同年年底,韩国广播通信委员会向总统李明博提交2012年业务计划,明确表示将“重新检讨”网络实名制。与此同时,Naver、Daum等大型门户网站也陆续宣布,将删除已保存的用户信息。

2010年初,韩国民间团体向宪法裁判所提起诉讼,称网络实名制侵害用户的匿名表达自由、互联网言论自由以及隐私权。

2012年8月,网络实名制被判违宪,因其未实现预期的公益性,反而令言论自由受到限制

实施五年之久的网络实名制,在韩国正式退出了历史舞台。

历史是惊人的相似,Aadhar项目实施以来,也是到了“七年之痒”的时候,其之后会不会也跟韩国“网络实名制”一样名存实亡,有待观察!

04
E安全要闻简讯

官网:

2017年5月

01FBI局长答参议员提问:俄罗斯仍是对美威胁最大的国家
02如何在学校进行黑客技术教学和开放教育
03中国301个僵尸网络C&C服务器被Shodan搜出 新型爬虫功不可没
04当前信息安全意识教育体系之我见
05微信群大量被收购 神秘不卡群庄家可日入十万
06教育部办公厅印发《2017年教育信息化工作要点》
07大数据新机遇,教育系统将建设完整安全体系
08美国高校的网络安全教育难跟时代步伐
09车联网安全:如果防御车辆犯罪
10【漏洞预警】WordPress 4.6远程代码执行漏洞,附Poc
11黑客针对谷歌在线文档Docs发起大规模钓鱼攻击
12还有什么是不能破解的?UHD蓝光碟疑似已遭盗版者破解
13美安全企业称中国TA459 APT组织利用微软漏洞攻击中亚国家
14印度1.35亿公民身份信息和1亿条银行账户信息被泄露


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存