Jio-gegevenslek vraagt ​​om een ​​verbeterd online beveiligingskader

Reliance Jio datalek dat in de media alom is gerapporteerd als een van de grootste datalekken in de telecomsector in India, wat naar alle waarschijnlijkheid ook een van de grootste datahacks van persoonlijke informatie in alle bedrijfstakken in India is.

Terwijl privacyactivisten en bezorgde burgers actief debatteren over de beveiligingsproblemen met de Aadhaar-kaart, onthulde magicapk.com een ​​database van enkele miljoenen Jio-abonnees met hun naam, mobiel nummer, e-mailadres en Aadhaar-nummer.

Hoewel het Aadhaar-nummer niet beschikbaar was op de website op het moment dat de hack werd gemeld, was er een lege parameter voor hetzelfde, waardoor velen geloofden dat de hacker misschien in het bezit is van Aadhaar-kaartnummers.

Meer in nieuws: Nieuwe JioFi-gebruikers krijgen tot 224 GB gegevens: hier is hoe het aanbod beschikbaar is

De website is nu inactief, maar wordt verondersteld op 9 juni 2017 rond 18.00 uur (IST) live te zijn gegaan en kort nadat de krantenkoppen waren gehaald, werd de website verwijderd.

Reliance vindt de Hack 'Inauthentic'

In een eerdere verklaring heeft Reliance het gegevenslek schaamteloos bestempeld als 'niet-authentiek' en hun abonnees verzekerd dat 'hun gegevens veilig zijn en met de hoogste beveiliging worden onderhouden'.

Hoewel er speculaties waren geweest dat alleen gegevens van de vroege abonnees van Reliance Jio waren gelekt - bevestigd door ons rapport bij - beweert een rapport van Indian Express dat "details van nummers die pas vorige week zijn gekocht, op de site staan".

Aangezien Reliance Jio momenteel ten noorden van 120 miljoen abonnees in het land heeft, kan het aantal klanten waarvan de gegevens zijn gehackt tientallen miljoenen of zelfs meer bedragen.

Welke invloed heeft het lek op mij?

Hoewel het Aadhaar-kaartnummer van de mensen van wie de informatie in de database verscheen niet beschikbaar was, waren de voornaam, middelste naam, achternaam, mobiele nummer, e-mail-ID, Circle ID en SIM-activeringsdatum en -tijd vrij beschikbaar. En alles wat nodig was om deze informatie op te halen, is een Jio-telefoonnummer.

Voor de meesten van ons lijkt deze informatie, zelfs als deze openbaar wordt gedeeld, niet zo schadelijk, maar kan dit leiden tot veel spamoproepen en berichten op uw mobiele telefoonnummer en phishing-aanvallen op uw e-ID.

Het huidige 'magicapk-Jio-lek' heeft geen Aadhaar-informatie uitgedeeld waarvan we op de hoogte zijn, maar het belangrijkste punt om op te merken is de mogelijkheid van Aadhaar-biometrische lekken en de implicaties ervan.

Wat zijn de grotere implicaties? Aadhaar Biometrics!

Hoewel er geen aanwijzingen zijn dat Aadhaar-gegevens van Jio-klanten zijn gelekt in de hack en het lek van magicapk.com, moet de overheid strikte richtlijnen opstellen om een ​​nieuw en robuust beveiligingskader te implementeren, met name voor organisaties die Aadhaar-informatie nodig hebben over een burger.

Aangezien de Aadhaar-kaart niet alleen persoonlijke informatie bevat, maar ook biometrische gegevens van meer dan een miljard Indiase burgers, is er geen discussie over het feit dat de informatie veilig moet worden bewaard.

Biometrische gegevens zoals vingerafdrukken zijn geen voorkeursoptie, maar worden grotendeels gebruikt om de gegevens van mensen te identificeren en te beveiligen - waaronder onze smartphones en laptops tegenwoordig.

In extreme gevallen, als de Aadhaar-gegevens van een persoon worden gestolen, kunnen dezelfde vingerafdrukken uit de biometrische gegevens worden gebruikt om de genoemde persoon bij een misdrijf te betrekken door de gestolen vingerafdrukken op de plaats delict te planten.

Meer in nieuws: Aadhaar-integratie nu beschikbaar op Skype Lite: hoe het te gebruiken

Hoewel dit misschien vergezocht lijkt, zal het ontbreken van een goed beveiligingskader dit mogelijk maken voor iedereen met middelen en kennis van het deep web waar dergelijke informatie voor een nominale prijs wordt verkocht.

Hoewel de overheid al een oplossing heeft om uw biometrische gegevens op de UIDAI-website te beveiligen, waardoor een 'biometrische vergrendeling' in uw profiel mogelijk is - waardoor uw biometrische gegevens niet kunnen worden misbruikt - kunt u ook bepaalde diensten die zijn geïntegreerd met Aadhaar gebruiken waarvoor biometrische authenticatie is vereist.

“Met dit systeem kan Resident zijn biometrische gegevens vergrendelen en tijdelijk ontgrendelen. Dit is om de privacy en vertrouwelijkheid van de biometrische gegevens van Resident te beschermen ”, luidt de UIDAI-website.

Aadhaar koppelen aan meerdere services verhoogt het beveiligingslek

Aadhaar is aantoonbaar gericht op het bieden van extra comfort aan zijn burgers terwijl hij toegang heeft tot diensten, maar in afwezigheid van een veilig online framework, maakt het ook de Aadhaar-gegevens kwetsbaar voor aanvallen door hackers.

Omdat mensen hun Aadhaar-informatie moeten koppelen om binnen een paar minuten onbelemmerde toegang tot een service te krijgen, is het ook belangrijk dat de betreffende serviceprovider een veilig framework onderhoudt voor het opslaan van de gegevens die door klanten worden verstrekt terwijl ze hun Aadhaar-informatie koppelen.

Bij gebrek aan effectieve beveiligingsmaatregelen wordt het voor een dader gemakkelijker om toegang te krijgen tot de gegevens van Aadhaar, omdat de mogelijkheden om de gegevens te verkrijgen toenemen met het aantal keren dat een persoon zijn Aadhaar-gegevens heeft gekoppeld aan een unieke serviceprovider.

Een ander geldig argument dat in een rapport in The Wire naar voren wordt gebracht, is dat de servers die de Aadhaar-database bevatten, ook kunnen worden uitgedaagd met een DDoS-aanval, waardoor een aantal essentiële services die zijn gekoppeld aan de Aadhaar onbeschikbaar kunnen worden.

In de afgelopen paar maanden heeft de overheid aandrijvingen geïnitieerd die uw Aadhaar-nummer moeten integreren met een serviceprovider om de voordelen te benutten - waardoor de integratie in enkele gevallen verplicht is.

Meer in nieuws: hier is hoe Aadhaar te koppelen met PAN-kaart

En nu steeds meer telecomoperatoren vragen om Aadhaar ID te koppelen aan mobiele nummers, moet de overheid richtlijnen implementeren voor een veilig kader waar al deze bedrijven zich aan moeten houden om de Aadhaar-gegevens veilig.

Het lijdt geen twijfel dat het creëren van een uniforme database om de identiteit van zijn miljard en groeiende burgers te authenticeren en deze te integreren met essentiële services, een meer georganiseerd beheersysteem zal vormen met veel minder fouten - in het licht van recente malware-aanvallen - is het belangrijk dat de overheid neemt de beveiliging van deze gevoelige database serieus om een ​​grote ramp in het digitale tijdperk te voorkomen.