Un chercheur en sécurité a déclaré qu’un site Web du gouvernement indien exposait les chiffres Aadhaar des agriculteurs indiens, représentant potentiellement des millions de personnes.
Atul Nair a déclaré à TechCrunch qu’il avait trouvé une partie du site Web de Pradhan Mantri Kisan Samman Nidhi qui révélait les informations des agriculteurs. PM-Kisan, comme l’agence est mieux connue, est une initiative du gouvernement indien visant à fournir à chaque agriculteur indien un revenu financier de base.
Mais Nair a déclaré qu’une partie du site Web de l’initiative renvoyait les numéros Aadhaar des agriculteurs, que les agriculteurs doivent fournir pour recevoir le revenu de l’État.
Les numéros Aadhaar sont un numéro confidentiel à 12 chiffres attribué à chaque ressortissant indien dans le cadre de la base de données d’identité nationale du pays. Aadhaar est utilisé comme preuve d’identité pour les citoyens après avoir soumis leurs empreintes digitales et leurs scans rétiniens à la base de données centrale, et est souvent nécessaire pour accéder aux services gouvernementaux de l’État, comme l’aide sociale et le vote. Les numéros Aadhaar sont également utilisés pour ouvrir des comptes bancaires, louer des Airbnbs, conduire avec Uber et pour fournir une vérification pour d’autres services en ligne. Les numéros Aadhaar ne sont pas strictement secrets, mais sont traités de la même manière que les numéros de sécurité sociale américaine ou d’assurance nationale britannique.
Nair a fourni un petit échantillon d’informations sur les agriculteurs exposés et les numéros Aadhaar correspondants qui ont été exposés par le site Web de PM-Kisan, que TechCrunch a vérifié comme authentiques en faisant correspondre les données exposées avec les informations de chaque agriculteur à l’aide d’un outil sur le propre site Web de PM-Kisan.
Il a averti qu’un attaquant malveillant aurait pu facilement recueillir les informations des agriculteurs en écrivant un script. Selon le site Web de PM-Kisan, qui semble n’être accessible que depuis l’Inde, plus de 110 millions d’agriculteurs se sont inscrits depuis le lancement de l’initiative en 2019.
Nair a signalé la défaillance de la sécurité en janvier à l’équipe nationale indienne d’intervention d’urgence informatique, connue sous le nom de CERT-In, et l’exposition a été corrigée fin mai. Nair a également publié son rapport dans un article de blog.
Ranjna Nagpal, dont les coordonnées figuraient sur le site Web de PM-Kisan, n’a pas renvoyé d’e-mail demandant un commentaire envoyé avant la publication.
La fuite de données n’est pas une violation de la base de données centrale gérée par le régulateur d’Aadhaar, l’UIDAI, mais est la dernière faille de sécurité à avoir assailli la base de données d’identité nationale controversée, fermement défendue par le gouvernement du Premier ministre Narendra Modi.
En 2017, un rapport a révélé que plus de 130 millions de numéros Aadhaar et les données bancaires associées avaient été exposés par une poignée de sites Web. TechCrunch a également signalé plusieurs défaillances impliquant un grand nombre de numéros Aadhaar. Et en 2018, des journalistes ont découvert que les données d’Aadhaar étaient à vendre par des particuliers vendant l’accès à la base de données.
En savoir plus sur TechCrunch :