Bir güvenlik araştırmacısı, Hindistan eyalet hükümetinin web sitesindeki bir hatanın, bölge sakinlerinin Aadhaar numaralarını, kimlik kartlarını ve parmak izlerinin kopyalarını içeren belgeleri yanlışlıkla ortaya çıkardığını söyledi.
Hata, güvenlik araştırmacısının hatayı yerel yetkililere açıklamasının ardından geçen hafta düzeltildi.
Sourajeet Majumder, Batı Bengal hükümetinin e-Bölge web portalında, eyalet sakinlerinin doğum ve ölüm belgeleri almak ve başvuru oluşturmak gibi devlet hizmetlerine çevrimiçi olarak erişmesine olanak tanıyan hatayı buldu. Majumder, internet sitesindeki hatanın, sıralı tapu başvuru numaralarını tahmin ederek e-İlçe internet sitesinden, bir arsanın sahiplerine ait kayıtları içeren tapuların elde edilmesinin mümkün olduğu anlamına geldiğini söyledi.
Başvuru kimlik numaraları, yerel bir sakinin bir tapunun dijital kopyası için başvuruda bulunması durumunda eyalet hükümeti tarafından verilen 16 haneli benzersiz numaralardır.
Ortaya çıkan bir Batı Bengal sakininin arazi tapusunun kısmen bulanık bir kopyası.
Her başvuru kimlik numarası geçerli değildi. Web sitesine giren ve çıkan ağ trafiğini analiz etmek için Burp Suite gibi kamuya açık araçları kullanmak, Majumder’ın sıralı uygulama numaralarından oluşan tüm listeler arasında geçiş yapabileceği ve bir uygulama kimlik numarasının geçerli olup olmadığını belirlemek için sunucudan gelen yanıtları kullanabileceği anlamına geliyordu.
Başvuru kimlik numarası ile e-İlçe sistemine giriş yapan herkes, tapu fotokopisine ulaşabilecek. TechCrunch tarafından görülen iki tapu kaydı, tapuya dahil olan kişilerin isimlerini, fotoğraflarını ve her iki elin tam parmak izlerini içeriyor. Tek bir tapuda birden fazla kişiyi görmek alışılmadık bir durum değil.
Tapularda ayrıca, her vatandaşa Hindistan’ın ulusal kimliğinin ve biyometrik veri tabanının bir parçası olarak atanan gizli Aadhaar numaraları da dahil olmak üzere, bireylerin hükümet tarafından verilmiş kimlik belgeleri de yer alıyor. Bankacılık, cep telefonu tarifeleri ve birçok devlet hizmetine erişim için Aadhaar numaraları gereklidir.
Majumder, güvenlik açığının kimlik sahtekarlığı için kötüye kullanılabileceğinden korkarak, web sitesinin güvenlik açığını Hindistan’ın CERT-In olarak bilinen bilgisayar acil müdahale ekibine ve Batı Bengal hükümetine bildirdi. Hata kısa süre sonra düzeltildi.
Hatayı Majumder dışında birinin keşfedip keşfetmediği bilinmiyor. Batı Bengal hükümeti ve CERT-In temsilcileri yorum taleplerine yanıt vermedi. Batı Bengal hükümetinin e-Bölge web sitesi bugüne kadar 17 milyondan fazla başvurunun işleme koyulduğunu söylüyor ancak bunların kaçının tapu ile ilgili olduğu bilinmiyor.
Yerel medya raporları son zamanlarda dolandırıcılıkta artış Suçluların banka hesaplarını boşaltmak için kullandıkları söylenen biyometrik bilgilerin çalındığı iddiasıyla bağlantılı.