Aadhaar System hackeado novamente: patch está sendo vendido por Rs 2.500 em grupos do WhatsApp

30 de abril de 2020 0 77

No início deste ano, em maio, surgiram relatos de que um adulteradoA versão do software de inscrição Aadhaar da UIDAI, que ignorava os recursos de segurança do software original e permitia a qualquer pessoa não autorizada criar um número Aadhaar, estava sendo vendida on-line. UIDAI rapidamentenegadoos relatórios, mas uma investigação aprofundada recente revelou que o  software de inscrição Aadhaar ‘super seguro’ da UIDAI foi hackeado e um patch que permite que o hack seja vendido por apenas Rs. 2.500.

Uma investigação de três meses conduzida por Huffington Post India descobriu a existência de um patch que desativa todos os recursos críticos de segurança do sistema oficial de inscrição Aadhaar da UIDAI e permite que qualquer pessoa crie um número Aadhaar, de qualquer lugar do mundo.

>

O patch foi avaliado por três especialistas internacionais e dois indianos em segurança de software, que confirmaram o funcionamento e o perigo que isso representa. O patch supera o protocolo de autenticação biométrica do software de registro Aadhaar – chamado Multiplataforma do Cliente de Registro – e também reduz a precisão do sistema de reconhecimento de íris, facilitando a falsificação do software com a impressão de uma íris, em vez de Verificação 3D, permitindo que qualquer pessoa que não seja um operador de inscrição certificado da Aadhaar adicione novos membros.

Como afirmado no relatório original meses atrás, também desativa o recurso obrigatório de GPS do software para rastrear o paradeiro de um centro de inscrição em Aadhaar, possibilitando a criação de um ID Aadhaar a partir de qualquer lugar do mundo. Curiosamente, o patch foi criado usando o código de versões mais antigas do software de inscrição da UIDAI, que apresentavam várias falhas de segurança e, de acordo com o relatório mais recente, está sendo amplamente utilizado em todo o país.

>

Os especialistas em segurança que analisaram o patch revelaram que usá-lo é tão simples quanto instalar qualquer software e depois copiar e colar pastas para quebrar o sistema de inscrição do Aadhaar.

Gustaf Björksten, tecnólogo-chefe da Access Now, um grupo global de política e defesa de tecnologia, e um dos especialistas consultados pelo Huffington Post para a investigação disseram que Aadhaar é um alvo de alto nível para os criminosos. “ Provavelmente existem muitos indivíduos e entidades, criminais, políticos, nacionais e estrangeiros, que se beneficiariam bastante desse compromisso da Aadhaar para fazer o investimento na criação do patch valer a pena.

Para ter alguma esperança de garantir o Aadhaar, o design do sistema precisaria ser radicalmente alterado “, acrescentou.

O Huffington Post alega que forneceu acesso ao patch ao NCIIPC (National Critical Information Infrastructure Protection Center), o órgão governamental responsável por supervisionar a segurança de Aadhaar. No entanto, a agência ainda não divulgou suas descobertas. A UIDAI ainda não comentou o relatório, nem respondeu às perguntas da publicação.

>

Notícia