Jio-datalekkasje krever en forbedret online sikkerhetsramme

Relasjons Jio-datainnbrudd som er blitt rapportert mye i media som et av de største datainnbruddene i telekomindustrien i India, som etter all sannsynlighet er et av de største datahackene med personlig informasjon på tvers av industrier i India også.

Mens personvernaktivister og bekymrede borgere aktivt diskuterer sikkerhetsproblemene med Aadhaar-kort, avslørte magicapk.com en database med flere millioner Jio-abonnenter som inkluderer navn, mobilnummer, e-post-ID og Aadhaar-nummer.

Selv om Aadhaar-nummeret ikke var tilgjengelig på nettstedet på det tidspunktet rapporten ble rapportert, var en tom parameter for det samme, noe som har fått mange til å tro at hackeren kan være i besittelse av Aadhaar-kortnumre.

Mer i nyheter: Nye brukere av JioFi for å få opptil 224 GB data: Slik bruker du tilbudet

Nettstedet er nå inaktivt, men antas å ha gått i live 9. juni 2017, rundt klokken 18 (IST), og kort tid etter å ha kommet til overskriftene ble nettstedet tatt ned.

Reliance anser hacken "inauthentic"

I en tidligere uttalelse har Reliance åpenbart merket datalekkasjen som 'inauthentic' og forsikret abonnentene deres om at 'deres data er trygge og vedlikeholdes med høyeste sikkerhet'.

Mens det hadde vært spekulasjoner om at data fra bare de tidlige abonnentene på Reliance Jio ble lekket - bekreftet av vår rapport på - hevder en rapport fra Indian Express at “detaljer om antall kjøpt så sent som i forrige uke er oppe på siden”.

Gitt at Reliance Jio for øyeblikket har nord for 120 millioner abonnenter i landet, kan antallet kunder hvis data er blitt hacket, løpe i flere titalls millioner eller enda mer.

Hvordan påvirker lekkasjen meg?

Mens Aadhaar-kortnummeret til personene som informasjonen ble vist i databasen ikke var tilgjengelig, var fornavn, mellomnavn, etternavn, mobilnummer, e-post-ID, Circle ID og SIM-aktiveringsdato og -tid fritt tilgjengelig. Og alt som trengs for å hente denne informasjonen er et Jio-telefonnummer.

For de fleste av oss virker denne informasjonen selv om den deles offentlig ikke så skadelig, men kan føre til mange spam-samtaler og meldinger på ditt mobiltelefonnummer og phishing-angrep på din e-post-ID.

Den nåværende 'magicapk-Jio lekkasjen' har ikke dolet ut noen Aadhaar-informasjon som vi er klar over, men hovedpoenget å merke seg her er muligheten for Aadhaar biometrisk lekkasje og implikasjonene.

Hva er de større implikasjonene? Aadhaar Biometri!

Selv om det ikke har vært noen indikasjon på at Aadhaar-detaljer om Jio-kunder har blitt lekket i magicapk.com hack og lekkasje, må regjeringen sette strenge retningslinjer for å implementere en ny og robust sikkerhetsramme, spesielt for organisasjoner som trenger Aadhaar informasjon om en borger.

Siden Aadhaar-kort ikke bare har personlig informasjon, men også biometriske data fra mer enn en milliard indiske statsborgere, diskuterer det ikke at informasjonen må oppbevares sikkert.

Biometri som fingeravtrykk er ikke å foretrekke, men brukes i stor grad for å identifisere og sikre dataene til mennesker - inkludert smarttelefoner og bærbare datamaskiner i disse dager.

I ekstreme tilfeller, hvis Aadhaar-dataene fra en person er stjålet, kan de samme fingeravtrykkene fra biometrikken brukes til å implisere den personen i en forbrytelse ved å plante de stjålne fingeravtrykkene på forbrytelsesområdet.

Mer i nyheter: Aadhaar-integrasjon nå tilgjengelig på Skype Lite: Hvordan bruke den

Selv om dette kan virke langsiktig, vil mangel på gode sikkerhetsrammer gjøre dette mulig for alle med midler og kunnskap om den dype nettet der slik informasjon selges til en nominell pris.

Mens regjeringen allerede har en løsning for å sikre din biometri på UIDAI-nettstedet som muliggjør en 'biometrisk lås' på profilen din - forhindrer din biometriske fra potensielt misbruk - vil dette også låse deg fra å bruke visse tjenester integrert med Aadhaar som trenger biometrisk autentisering.

“Dette systemet vil gjøre det mulig for beboer å låse og midlertidig låse opp biometriene sine. Dette er for å beskytte personvern og konfidensialitet av Resident's Biometrics Data, ”lyder nettstedet UIDAI.

Å knytte Aadhaar til flere tjenester øker sikkerhetsproblemet

Aadhaar er uten tvil rettet mot å gi ekstra komfort til innbyggerne mens de får tilgang til tjenester, men i mangel av sikre rammer på nettet, etterlater det også Aadhaar-dataene sårbare for angrep fra hackere.

Siden folk er pålagt å koble Aadhaar-informasjonen sin for å få uhemmet tilgang til en tjeneste i løpet av få minutter, er det også viktig at den aktuelle tjenesteleverandøren opprettholder en sikker ramme for lagring av dataene som tilbys av kunder mens de kobler sammen Aadhaar-informasjonen.

I mangel av effektive sikkerhetstiltak, blir det lettere for en gjerningsmann å få tilgang til Aadhaar-detaljer ettersom mulighetene for å skaffe dataene øker med antall ganger en person har koblet Aadhaar-detaljene sine til en unik tjenesteleverandør.

Et annet gyldig argument fremsatt av en rapport i The Wire er at serverne som holder Aadhaar-databasen også kan bli utfordret med et DDoS-angrep, noe som kan føre til at en rekke viktige tjenester som er knyttet til Aadhaar blir gjort utilgjengelige.

I løpet av de siste månedene har regjeringen satt i gang stasjoner som trenger å integrere Aadhaar-nummeret ditt med en tjenesteleverandør for å benytte fordelene - noe som gjør integrasjonen obligatorisk i noen få tilfeller.

Mer i nyheter: Slik kobler du Aadhaar til PAN-kort

Og nå som stadig flere teleoperatører ber om at Aadhaar ID skal knyttes til mobilnummer, må regjeringen implementere retningslinjer for en sikker ramme som alle disse selskapene vil måtte følge, for å kunne anskaffe og beholde Aadhaar data sikker.

Det er ingen tvil om at oppretting av en enhetlig database for å autentisere identiteten til milliardplussene og de voksende innbyggerne og integrere den med viktige tjenester, vil danne et mer organisert administrasjonssystem med mye mindre feil - i lys av nylige angrep på malware - er det viktig at regjeringen tar sikkerheten til denne sensitive databasen på alvor for å unngå en større ulykke i den digitale tidsalderen.