28/05/24
В Индии произошла масштабная утечка данных, в результате которой стали доступны биометрические данные миллионов граждан. Незащищённая база данных, содержащая отпечатки пальцев и сканы лиц сотрудников полиции, военных и гражданских лиц, была обнаружена во время всеобщих выборов, что вызвало серьёзные опасения по поводу кражи личных данных и безопасности выборов, пишет Securitylab.
Согласно исследованию эксперта по кибербезопасности Иеремии Фаулера, незащищённая база данных, содержащая более 1,6 миллиона документов (общим объёмом 496,4 ГБ), была обнаружена компанией Website Planet. В утекших файлах содержались фотографии, отпечатки пальцев, подписи и идентификационные метки сотрудников полиции, военных, учителей и железнодорожных работников.
Кроме биометрических данных, утечка включала такие важные документы, как свидетельства о рождении, адреса электронной почты, заявления о приёме на работу, дипломы и другие конфиденциальные файлы.
Особенно выделяются 284 535 документов, относящихся к тестам на физическую подготовку (PET) для сотрудников полиции и правоохранительных органов. Эти файлы содержали изображения подписей сотрудников, PDF-документы, а также специальные мобильные приложения, некоторые из которых были упакованы в ZIP-архивы.
В одной из папок под названием «Facial Software Installation» были найдены изображения и документы, передаваемые через вышеупомянутые приложения. В утечке также содержались внутренние имена баз данных, логины и пароли в открытом виде.
Большинство утекших данных принадлежали двум индийским компаниям: ThoughtGreen Technologies и Timing Technologies. Обе фирмы предоставляют услуги по разработке приложений, RFID-технологий и биометрической верификации. Однако, до сих пор не ясно, какой из этих компаний принадлежал скомпрометированный сервер.
Как отмечают специалисты, слитая информация уже может продаваться среди злоумышленников, что ставит миллионы людей под угрозу целенаправленных кибератак.
Биометрические данные, такие как отпечатки пальцев, являются уникальными идентификаторами, привязанными к личности человека и практически не поддаются изменению. Эти данные могут использоваться для множества вредоносных целей, включая подделку личности и кражу личных данных.
Примечательно, что в 2022 году в Индии был принят закон, расширяющий полномочия полиции по сбору биометрических данных у осужденных, арестованных или задержанных лиц. Но едва ли кто-то мог подумать, что эти данные подвергнутся утечке, да ещё и затронув биометрию самих полицейских и даже военных.
Этот инцидент подчёркивает этические и регуляторные вызовы, связанные со сбором, использованием и хранением биометрических данных, а также является наглядной демонстрацией для правительств и частных компаний, что бывает, если допустить даже небольшую ошибку при хранении таких данных.
