Cerca
Close this search box.
Categorie
Cerca
Close this search box.

Categorie

e/o

cerca per intervallo di date
cerca per intervallo di date

Condividi su >

Il più grande sistema di identificazione digitale biometrica del mondo ha subito la più grande violazione di dati mai vista

Screenshot 2023-11-07 alle 23.28.34

Scritto da Nick Corbishley tramite NakedCapitalism.com,

In un colpo solo, circa il 10% della popolazione mondiale ha visto compromessi i dati di identificazione personale (PII) più importanti. Eppure Aadhaar continua a ricevere consensi dalla Silicon Valley. 

Un hacker anonimo avrebbe violato i numeri di identificazione digitale e altri dati personali sensibili di circa 815 milioni di cittadini indiani.

Per intenderci, si tratta di oltre il 60% degli 1,3 miliardi di indiani iscritti al programma di identità digitale biometrica del governo, che si chiama Aadhaar, e di circa il 10% dell’intera popolazione globale. Grazie alla violazione – la più grande nella storia del paese,  secondo  l’Hindustan Times  – i dati personali di centinaia di milioni di indiani sono ora in gioco nel dark web, per soli 80.000 dollari.

Per registrare una carta Aadhaar, i residenti indiani devono fornire informazioni demografiche di base, tra cui nome, data di nascita, età, indirizzo e sesso, nonché informazioni biometriche, dieci impronte digitali, due scansioni del bulbo oculare e una fotografia del viso. Molti di questi dati sono stati apparentemente compromessi.

I resoconti dei media dicono che i dati dei test Covid-19 dell’Indian Council of Medical Research (ICMR), che sono collegati al numero Aadhaar di ciascun individuo, sono stati compromessi.

L’allarme è stato lanciato per la prima volta da Resecurity, una società di sicurezza informatica con sede a Los Angeles, che il 15 ottobre ha incluso quanto segue in un  post  sul proprio sito Web aziendale:

Il 9 ottobre, un hacker con lo pseudonimo  “pwn0001”  ha pubblicato i dati di 815 milioni di persone. Per intenderci, l’intera popolazione dell’India ammonta a poco più di 1,486 miliardi di persone.

Gli investigatori di HUNTER hanno stabilito un contatto con l’autore della minaccia e hanno appreso che erano disposti a vendere l’intero set di dati per $ 80.000.

Il set di dati offerto da  pwn0001  contiene più campi relativi alle PII dei cittadini indiani:

– nome
– nome del padre
– numero di telefono
– altro numero
– numero di passaporto
– numero aadhar
– età
– sesso
– indirizzo
– distretto
– codice PIN
– stato…

Furto di identità digitale

Questo sistema è stato apparentemente creato per fornire alle persone senza identificazione un documento d’identità governativo formale e per evitare documenti d’identità duplicati, falsi o rubati spesso utilizzati per beneficiare di programmi governativi e schemi di welfare.

Il sistema ha rapidamente attirato l’interesse e gli elogi da parte delle élite di tutto il mondo, inclusa la Silicon Valley.

In un  articolo del 2019  nel suo blog “Gates Notes”, Bill Gates ha lodato Aadhaar per aver reso visibile “il popolo invisibile dell’India”. Tre anni prima, in una conferenza su Technology for Transformation, Gates aveva  affermato  che Aadhaar è qualcosa che non era mai stato fatto prima da nessun governo, nemmeno in un paese ricco. Ha inoltre affermato che non presenta alcun rischio per la privacy; provate a dirlo agli 815 milioni di persone i cui dati personali sono ora in palio nel Dark Web!

Insieme a Nandan Nilekani, uno dei co-fondatori del colosso tecnologico indiano Infosys, ampiamente riconosciuto come il capo architetto di Aadhaar, Gates ha continuato a svolgere un ruolo chiave nell’esportazione di Aadhaar in altre parti del cosiddetto Sud del mondo, in gran parte finanziato dalla Banca Mondiale. Secondo quanto riferito , i due miliardari hanno anche  contribuito a convincere  il governo Modi a intraprendere il disastroso percorso di demonetizzazione al fine di espandere le alternative di pagamento senza contanti. Si ritiene che la demonetizzazione abbia causato un calo del 2% nella crescita del PIL indiano nel solo 2016/17, l’equivalente di 52 miliardi di dollari, secondo il Sunday Guardian.

Ancora oggi, Aadhaar continua a ricevere consensi dalla Silicon Valley, nonostante tutti i suoi difetti di sicurezza, preoccupazioni sulla privacy e altri problemi. Worldcoin, il controverso progetto di criptovaluta creato dal CEO di OpenAI Sam Altman che utilizza una “sfera” a scansione oculare per fornire agli utenti un’identità digitale unica per verificare se sono umani, ha recentemente affermato che cerca di emulare il sistema Aadhaar indiano nella creazione  di un’identità globale e una rete finanziaria.

Ironicamente, sia Aadhaar che World Coin sono stati presentati in un recente rapporto di Moody’s Investor Services come esempi di come non sviluppare un sistema di identità digitale. Come ho notato all’epoca, non è chiaro se le critiche di Moody’s fossero semplicemente non tempestive, dato il contesto geopolitico, o facessero parte di una campagna più ampia nell’anglosfera contro gli interessi dell’India. Il governo Modi e le imprese tecnologiche indiane sono disperatamente desiderose di esportare il cosiddetto “Indian Stack” – il Jan Dhan Yojana, un programma di inclusione finanziaria; UPI, un sistema di pagamenti istantanei lanciato nel 2016, appena sei mesi prima che il governo ritirasse dalla circolazione l’84% delle banconote indiane nella sua famigerata campagna di demonetizzazione.

Missione Creep sotto steroidi

Aadhaar è stato introdotto per la prima volta come un  modo volontario  per migliorare l’erogazione dei servizi di welfare. Ma il governo Modi ha rapidamente ampliato la sua portata rendendola  obbligatoria  per i programmi di welfare e i benefici statali.

La missione inquietante non è finita qui. Aadhaar è diventato quasi necessario per accedere a un elenco crescente di servizi del settore privato, tra cui cartelle cliniche, conti bancari e pagamenti delle pensioni. Secondo Security Affairs, dietro molte violazioni dei dati ci sono le debolezze in termini di sicurezza di molte di queste terze parti, tra cui società di servizi pubblici, fornitori di servizi indipendenti, operatori di telefonia mobile e di telecomunicazioni e servizi di prestito e fintech.

Sono in corso anche piani per collegare la registrazione degli elettori ad Aadhaar, nonostante gli evidenti difetti di sicurezza del sistema. Oltre alla vulnerabilità dell’archiviazione dei dati, il sistema Aadhaar indiano presenta molti altri aspetti negativi, come ho notato nel mio libro Scanned :

Per cominciare, tiene traccia dei movimenti degli utenti tra le città, del loro stato occupazionale e dei record di acquisto. Si tratta di un sistema di credito sociale de facto che funge da punto di ingresso chiave per l’accesso ai servizi in India. Se da un lato il sistema ha contribuito ad accelerare e ripulire la burocrazia indiana, dall’altro ha anche aumentato massicciamente i poteri di sorveglianza del governo indiano ed ha escluso oltre 100 milioni di persone dai programmi di welfare e dai servizi di base.

L’ente pubblico responsabile di Aadhaar, l’Autorità di identificazione unica dell’India (UIDAI), deve ancora commentare l’ultima violazione. Ma se la forma passata può servire da guida, quando lo farà negherà tutte le accuse. Finora ha confutato tutte le accuse di violazione dei dati, da quando il sistema Aadhaar è entrato in funzione sette anni fa, comprese le  affermazioni  di Wikileaks secondo cui la CIA potrebbe avere accesso al database e  le accuse  nel Global Risks Report 2019 del World Economic Forum secondo cui Aadhaar “ha subito molteplici violazioni che potenzialmente hanno compromesso i dati di tutti gli 1,1 miliardi di cittadini registrati”.

Dato l’enorme numero di violazioni subite da Aadhaar, questo livello di negazionismo sta diventando insostenibile. Anche Biometric Update, la più importante pubblicazione commerciale per l’industria della biometria, ha avvertito che l’India sta “dissanguando dati biometrici”. E i dati biometrici sono le nostre informazioni di identificazione personale più preziose. Se viene violato non c’è modo di annullare il danno. Non puoi modificare o cancellare l’iride o l’impronta digitale come puoi cambiare una password o cancellare una carta di credito.

Le probabilità che tali dati vengano violati sono significative, data la scarsa capacità della maggior parte dei database, osserva la professoressa Sandra Watcher, docente di etica dei dati presso l’Oxford Internet Institute:

“L’idea di una violazione dei dati non è una questione di  se, ma di quando. Benvenuti su Internet: tutto è hackerabile.

Dato il numero e la portata delle recenti violazioni, “l’insistenza del governo indiano sul fatto che Aadhaar sia sicura suona vana”, conclude Biometric Update:

Un articolo su Security Affairs  riporta  che all’inizio di questo mese, la società di sicurezza informatica Resecurity ha trovato centinaia di milioni di documenti contenenti informazioni di identificazione personale (PII) in vendita sul dark web. Le carte Aadhaar erano tra i dati offerti.

Sempre in ottobre, le informazioni personali dei candidati a un programma per giovani registi dell’International Film Festival of India sono state pubblicate su un sito web governativo dedicato all’evento. Il Deccan Herald  riferisce  che il Times of India è stato in grado di accedere a una directory principale che conteneva gli ID Aadhaar, le carte PAN e altre informazioni personali di oltre 100 persone che hanno presentato domanda tramite la National Film Development Corporation (NFDC).

Inoltre, come riportato su  The Hindu , un’irruzione della polizia in un bordello di Bangalore ha scoperto che alle lavoratrici del sesso erano state consegnate carte Aadhaar false e ha dato il via a un’indagine su una più ampia produzione di carte d’identità governative, tessere elettorali e altri documenti falsi.

E infine, c’è il caso, ora risolto, di dati  biometrici delle impronte digitali, numeri di identificazione digitale, documenti di identità, fotografie e immagini inviati ad Aadhaar che sono stati esposti dal sito web del governo dello stato del Bengala Occidentale.

Quest’ultimo caso è particolarmente pertinente poiché rivela quanto fragili possano essere gli identificatori biometrici, soprattutto quando si tratta di finanza. Negli ultimi anni, un consorzio di attori del settore pubblico e privato, tra cui la Reserve Bank of India, l’UIDAI, la National Payments Corporation of India (NPCI) e l’Istituto per lo sviluppo e la ricerca nella tecnologia bancaria, ha sviluppato un sistema bancario senza carta chiamato Sistema di pagamento abilitato Aadhaar o AePS. Per usufruire del servizio, tutto ciò di cui i clienti  hanno bisogno  è il nome della banca, un numero Aadhaar e gli identificatori biometrici acquisiti durante la loro iscrizione ad Aadhaar. È veloce, facile ma non è neanche lontanamente sicuro.

Un recente procedimento penale nel Bengala ha rivelato che un sistema di pagamento totalmente biometrico, che non prevede carte né PIN, non è sicuro, in particolare quando gli identificatori biometrici in questione e i numeri Aadhaar sono facilmente accessibili sul World Wide Web. Come sempre in questi casi, i truffatori intraprendenti sono molto più avanti delle autorità. Da  standard aziendale :

L’ultimo allarme di truffa è venuto alla luce dopo che la polizia di Calcutta ha scoperto casi in cui i truffatori rubano dati, comprese le impronte digitali, dai registri catastali sul sito web del catasto del Bengala Occidentale. Secondo quanto riferito, due persone sono state arrestate per il loro coinvolgimento in transazioni fraudolente utilizzando il sistema di pagamento abilitato Aadhaar (AePS).

“Gli accusati hanno sviluppato impronte digitali false che sono state utilizzate per prelevare denaro dal conto bancario del denunciante. In primis. È stato scoperto che i dati elettronici vengono raccolti da diversi domini/siti web pubblici”, ha detto all’Indian Express un alto ufficiale della polizia di Calcutta.

Successivamente, la polizia di Calcutta ha richiesto al dipartimento delle finanze statale di nascondere i dati biometrici, comprese le impronte digitali, e i numeri delle carte Aadhaar estratti dagli atti di proprietà o da qualsiasi altro documento caricato sul sito web di registrazione delle proprietà del governo statale.

La risposta di alcune banche e forze dell’ordine è rivelatrice: stanno  dicendo  ai clienti delle banche di bloccare i propri dati biometrici sull’app m-Aadhaar/portale UIDAI e di iniziare a utilizzare un PIN a quattro cifre per autenticare i pagamenti e impedire l’accesso non autorizzato ai propri conti bancari. Si tratta di un’aperta ammissione che gli identificatori biometrici, da soli, non sono sufficientemente sicuri ai fini delle transazioni. Né vengono archiviati in modo sicuro da enti pubblici o privati. Questo dovrebbe (ma probabilmente non servirà) essere da monito per tutti gli altri governi e aziende di tutto il mondo che cercano di sfruttare il potere degli identificatori biometrici e dell’identità digitale.

Condividi su >

Lascia un commento

Download omaggio libri

per proteggere il tuo patrimonio e pagare meno tasse!

Accedi alla collezione completa di video

News economiche, analisi banche e fisco, soluzioni aziendali, blockchain ed economia digitale, tutela del patrimonio e soluzioni personali

Accedi alla collezione completa di video

News economiche, analisi banche e fisco, soluzioni aziendali, blockchain ed economia digitale, tutela del patrimonio e soluzioni personali

I corsi

CREA IL TUO PORTAFOGLIO CRIPTO EFFICACE

Vuoi iniziare ad investire in cripto ma non sai da dove partire?

Parti col piede giusto! Impara i fondamentali per entrare nel mondo delle criptovalute in maniera consapevole. Scopri come creare il tuo portafoglio di Bitcoin e altcoin efficace, senza commettere banali errori e massimizzando i tuoi benefici futuri.

livello difficoltà:

1.5/5

Base e Intermedio (2 corsi in uno)

Docente:

AC Criptovalute

ANALISI TECNICA E TRADING CRIPTO E BITCOIN

La dichiarazione fiscale delle criptovalute è una spina nel fianco?

Una guida pratica che ti insegna le nozioni fondamentali (che molti commercialisti non conoscono) per dichiarare in maniera corretta le tue cripto, gestire le plusvalenze… ed evitare di pagare più del necessario.

livello difficoltà:

2.5/5

Intermedio

Docente:

AC Criptovalute

COME PAGARE E (NON PAGARE) LE TASSE SULLE CRIPTO

La dichiarazione fiscale delle criptovalute è una spina nel fianco?

Una guida pratica che ti insegna le nozioni fondamentali (che molti commercialisti non conoscono) per dichiarare in maniera corretta le tue cripto, gestire le plusvalenze… ed evitare di pagare più del necessario.

livello difficoltà:

2.5/5

Intermedio

Docente:

Francesco Carrino

CREA IL TUO PORTAFOGLIO CRIPTO EFFICACE

Vuoi iniziare ad investire in cripto ma non sai da dove partire?

Parti col piede giusto! Impara i fondamentali per entrare nel mondo delle criptovalute in maniera consapevole. Scopri come creare il tuo portafoglio di Bitcoin e altcoin efficace, senza commettere banali errori e massimizzando i tuoi benefici futuri.

livello difficoltà:

1.5/5

Base e Intermedio (2 corsi in uno)

Docente:

AC Criptovalute

ANALISI TECNICA E TRADING CRIPTO E BITCOIN

La dichiarazione fiscale delle criptovalute è una spina nel fianco?

Una guida pratica che ti insegna le nozioni fondamentali (che molti commercialisti non conoscono) per dichiarare in maniera corretta le tue cripto, gestire le plusvalenze… ed evitare di pagare più del necessario.

livello difficoltà:

2.5/5

Intermedio

Docente:

AC Criptovalute

il miglior modo per poter prosperare grazie alla blockchain e le criptovalute

la Cerchia dei Pionieri della Blockchain che ti permette di guadagnare mentre ti diverti a scoprire un nuovo mondo!

CriptoGenesis è un portale finalizzato a farti guadagnare mentre ti diverti a scoprire le nuove innovazioni del mondo blockchain.

livello difficoltà:

2.5/5

Intermedio

Docente:

EtherEvolution