Sistema Aadhaar violato di nuovo: la patch viene venduta per Rs 2.500 sui gruppi WhatsApp

All’inizio di maggio di quest’anno, sono emerse segnalazioni secondo cui una versione manomessa del software di registrazione Aadhaar di UIDAI, che aggirava le funzionalità di sicurezza del software originale e consentiva a qualsiasi persona non autorizzata di creare un numero Aadhaar, veniva venduta online. UIDAI ha rapidamente negato le segnalazioni, ma una recente indagine approfondita ha rivelato che il software di registrazione Aadhaar “super sicuro” di UIDAI è stato violato e una patch che consente l’hacking viene venduta per sole Rs. 2.500.

Un’indagine di 3 mesi condotta da Huffington Post India ha scoperto l’esistenza di una patch che disabilita tutte le funzionalità di sicurezza critiche del sistema di registrazione Aadhaar ufficiale di UIDAI e consente a chiunque di creare un numero Aadhaar, da qualsiasi parte del mondo.

Sistema Aadhaar violato di nuovo: la patch viene venduta per Rs 2.500 sui gruppi WhatsApp

La patch è stata valutata da 3 esperti di sicurezza software inter___onali e due indiani, che ne hanno confermato il funzionamento e il pericolo che rappresenta. La patch supera il protocollo di autenticazione biometrica del software di registrazione Aadhaar – chiamato Enrollment Client Multi-Platform – e riduce anche la precisione del sistema di riconoscimento dell’iride, rendendo facile lo spoofing del software con una stampa di un’iride, invece di Verifica 3D, che consente a chiunque non sia un operatore di registrazione Aadhaar certificato di aggiungere nuovi membri.

Come affermato nel rapporto originale mesi fa, disabilita anche la funzione GPS obbligatoria del software per tracciare la posizione di un centro di registrazione Aadhaar, rendendo possibile la creazione di un ID Aadhaar da qualsiasi luogo in tutto il mondo. È interessante notare che la patch è stata creata utilizzando il codice di versioni precedenti del software di registrazione UIDAI che presentava molteplici falle di sicurezza e, secondo l’ultimo rapporto, è ampiamente utilizzato in tutta la ___one.

Gli esperti di sicurezza che hanno analizzato la patch hanno rivelato che l’utilizzo della patch è semplice come installare qualsiasi software, quindi copiare e incollare le cartelle per violare il sistema di registrazione Aadhaar.

Gustaf Björksten, Chief Technologist presso Access Now, un gruppo di politica e difesa della tecnologia globale, e uno degli esperti consultati da Huffington Post per l’indagine, ha affermato che Aadhaar è un obiettivo di alto livello per i criminali. “Probabilmente ci sono molti individui ed entità, criminali, politici, ___onali e stranieri, che trarrebbero abbastanza benefici da questo compromesso di Aadhaar da rendere utile l’investimento nella creazione della patch.

“Per avere qualche speranza di proteggere Aadhaar, il design del sistema dovrebbe essere cambiato radicalmente”, ha aggiunto

Huffington Post afferma di aver fornito l’accesso alla patch al National Critical Information Infrastructure Protection Center (NCIIPC), l’ente governativo responsabile della supervisione della sicurezza di Aadhaar. Tuttavia, l’agenzia deve ancora rivelare i suoi risultati. UIDAI non ha ancora commentato il rapporto, né ha risposto alle domande della pubblicazione.