印度1.35億公民身份信息和1億條銀行賬戶信息被泄露

E安全5月4日訊根據印度互聯網與社會中心（簡稱CIS）的一項調查結果，此次經由4個印度政府門戶站點泄露的Aadhaar公民身份信息總量或高達1.35億條，除此之外，還有1億銀行帳戶也不慎曝光。

什麼是Aadhaar項目？

2010年9月，世界上最龐大最複雜的生物身份識別系統（UID，又稱Aadhar計劃），在印度馬哈拉施特拉邦一個部族村落里宣告啟動。該項目由印度身份證管理局執行，作為全球規模最大的生物識別ID系統，截至2017年2月28日，這個印度建立的Aadhaar項目已經採集超過11.23億人的生物識別數據，包括照片、十指指紋和虹膜掃描，為每個印度居民提供了一個獨一無二的12位身份證明編號。

由於該身份證明編號與手機號和銀行賬戶綁定，印度工貿可在網上進入資料庫進行身份識別和手機「實時」驗證，同時還能享受醫療、社保、培訓、申請駕照、就業等服務；政府部門可以有針對性的向居民進行補貼和福利發放，對居民健康情況等進行檢測，有效提供醫療和防疫等公共服務，並實現行政流程的實時改進。

Aadhaar信息安全實踐遭遇挫敗

根據印度互聯網與社會中心（簡稱CIS）近期發布的一份題為《Aadhaar信息安全實踐（抑或缺失）：Aadhaar號碼中敏感個人財務信息文件的公開可用性》的報告所述，此類系統中出現的任何問題都將引發毀滅性的災難。本文源自E安全

這份報告強調了Aahdaar本身所採取的高安全性保障機制，同時警告稱允許其它政府機構訪問該系統可能導致數據泄露。

這篇研究論文重點介紹了四大政府項目：印度安得拉邦甘地國家級農村就業計劃、錢德拉保險項目（Chandranna Bima）、國家社會援助方案以及由印度國家信息中心負責維護的安得拉邦每日「NREGA在線支付報告」門戶網站。

CIS方面審查了政府辦公室所使用的多套資料庫系統，其中包含與涉及個人信息的Aadhaar號碼相關的「大量實例」。

根據印度聯邦電子信息技術部部長Aruna Sundararajan的說明，Aadhaar內置有一套非常強大的隱私保護條例，但目前仍在推進其具體實施中。

「人們並不知曉眾多政府機構正在使用這些敏感數據。因此現在我們需要對民眾進行教育，幫助他們意識到Aadhaar數據並不應像現在這樣自由發布。」

根據此份報告的數據顯示，目前約有1.35億條Aadhaar號碼及1億條銀行帳戶號碼可能已經由負責處理政府養老金及農村就業項目的門戶網站處外泄。本文源自E安全

這一泄露事故將造成重大後果並「引發潛在且不可逆轉的隱私危害」，此類公民信息可能被用於實施多種非法目的。

Sundararajan證實稱，印度IT立法機構將在隨後的立法修正案當中解決由此類信息發布所造成的安全與隱私問題。

這份報告總結稱：

由於缺乏信息安全實踐指導，其它同樣使用Aadhaar信息以實現直接權益轉移（簡稱DBT）的其它項目也可能造成資料外泄。目前印度已經在基於Aadhaar項目的直接權益轉移工作中投入超過2億3千萬盧比，如果眾多福利項目以類似的方式處理公民個人數據，那麼未來我們很可能面臨極為可怕的大規模信息泄露風險。

Aadhar計劃最終會跟韓國「網路實名制」一樣名存實亡嗎？

印度政府的初衷是為每個印度居民提供了一個不易被冒用的獨一無二的12位身份證明編號，在其保障個人數據及身份財產的安全性的基礎上，擴大政府惠民工程的深度、廣度，以及醫療、就業等公共服務，提高政府服務的效率與精度。

但良好的初衷未必一定帶來良好的結果。這不禁讓E安全小編聯想起韓國曾經的「網路實名制」，以下跟隨E安全小編一起回顧一下其始末：

始於「狗屎女」

2005年6月5日，韓國首爾地鐵二號線，一名女孩牽的寵物狗在地鐵車廂內排便。鄰座老人要求女孩清理狗的排泄物，女孩拒不願意並惡言相向被同車廂網友拍下視頻傳到網上引起社會公憤。網民發動「人肉」搜索，將女孩的真實姓名、電話、住址、就讀學校等個人信息，被公諸於眾，並強加「狗屎女」這個不雅稱號，最終，女孩被迫公開道歉，之後換上精神病，全家被迫搬家，隱姓埋名。

「狗屎女」事件令韓國民眾開始反思網路暴力。

2005年7月，雅虎韓國的一項在線用戶調查顯示，79%的受訪者支持網路實名制。韓國政府決定，將網路實名制以立法形式付諸實施。

2005年9月，韓國信息通信部舉行聽證會，提出在大型門戶網站推行有限實名制，用戶在這些網站的留言板上發表回復時，有義務使用實名。

2006年，韓國政府著手制定《促進使用信息通信網及信息保護關聯法》修正案時，已決定擴大涉及網站的範圍。信息通信部官員在描述網路實名制時，語氣也與以往不同。韓國《朝鮮日報》引述稱，該法律旨在「凈化網路文化」，以及「大力治理最近成為韓國社會問題的惡意留言和利用網路侵犯個人隱私現象」。一旦發生法律糾紛，警方可迅速確認用戶的真實身份。

2007年，韓國正式實施網路實名制。用戶註冊登錄時須使用真實身份，發布消息可使用化名。

2007年7月，韓國正式推行網路實名制。日均頁面瀏覽量在30萬人次以上的門戶網站，以及日均頁面瀏覽量在20萬人次以上的媒體網站，被要求必須引入身份驗證機制，共計35家

轉折點:韓國女明星崔真實自殺

2008年10月2日，韓國女明星崔真實在首爾私人寓所的浴室內，以繃帶上吊身亡。這起自殺事件被認為與網路謠言直接相關。經過警方調查後發現，崔真實是嚴重受到「高利貸謠言」的影響。因為在其自殺一個月前，韓國明星安在煥自殺身亡後，韓國某證券公司的兩名職員在網上散布消息，稱是崔真實向安在煥發放高利貸，間接逼死了安在煥。這一謠言令原本便患有抑鬱症的崔真實深受打擊，最終走上自殺的道路。

2009年6月16日，首爾中央法院對散布謠言的兩名證券公司職員作出審判，以損毀他人名譽等罪名，判處兩人有期徒刑10個月，緩期兩年執行，並從事社會服務120小時。

儘管崔真實自殺還有別的原因，但網路暴力難辭其咎，引發了一場聲討運動。

之後，韓國政府通過一項修正案，宣布自2009年4月起，網路實名制的應用範圍擴展至日均頁面瀏覽量超過10萬人次的網站，共計153家。

「實名制」收效甚微

韓國推行網路實名制的初衷，在於減少網上的語言暴力、名譽損壞、侵犯隱私、虛假信息傳播等不良行為，促使網民對自己的網路行為負責。而三年後的一份調查數據顯示，效果並不理想。

「實名制」實施後，誹謗跟帖數量從13.9%減少到12.2%，僅僅減少了僅1.7個百分點。」調查顯示，三分之二曾發布惡意貼的網民對是否使用實名並不在意。出於「法不責眾」的心理，他們即便以真實姓名登錄，仍會故伎重演，甚至還出現了「身份證偽造器」的軟體。

2009年4月，YouTube被指定為實名制對象後，關閉了韓國站的視頻上傳和留言功能，將用戶轉往國際站。

2011年3月，韓國放送通信委員將此類網站排除於實名制對象以外，理由是社交網站屬私人領域，不適用實名制。至此，網路實名制已名存實亡。而近兩年推特（Twitter）、臉書（Facebook）等社交網站風靡韓國。

「網路實名制」，沒！

2011年7月。當月，韓國門戶網站Nate以及社交網站「賽我網」遭黑客攻擊，導致約3500萬名用戶的個人信息外泄（韓國2010年總人口約為5000萬）。被泄露的資料極為詳盡，包括姓名、生日、電話、住址、郵箱、密碼和身份證號碼。

2011年11月，韓國遊戲運營商Nexon公司伺服器被黑客入侵，導致1300萬名用戶的個人信息被泄露。

購物網站和企業網站一度被認為是網路實名制的最大受益者之一，它們可以通過身份證號對顧客的性別、年齡和生日等信息進行分類，建立用戶資料庫，開展有針對性的營銷活動。同時，海量用戶資料亦成為黑客的盤中餐，引發了一場史無前例的網路安全危機。被泄露的個人信息，有可能被不良商家利用，從事電話營銷，發送廣告郵件，更可能導致賬號盜用、侵犯隱私、電話詐騙等難以預料的惡劣後果。

事發一個月後，韓國政府首次表態將逐步廢止網路實名制。同年年底，韓國廣播通信委員會向總統李明博提交2012年業務計劃，明確表示將「重新檢討」網路實名制。與此同時，Naver、Daum等大型門戶網站也陸續宣布，將刪除已保存的用戶信息。

2010年初，韓國民間團體向憲法裁判所提起訴訟，稱網路實名制侵害用戶的匿名表達自由、互聯網言論自由以及隱私權。

2012年8月，網路實名制被判違憲，因其未實現預期的公益性，反而令言論自由受到限制

實施五年之久的網路實名制，在韓國正式退出了歷史舞台。

歷史是驚人的相似，Aadhar項目實施以來，也是到了「七年之癢」的時候，其之後會不會也跟韓國「網路實名制」一樣名存實亡，有待觀察！

E安全註：本文系E安全獨家報道，轉載請聯繫授權，並保留出處與鏈接，不得刪減內容.

@E安全，最專業的前沿網路安全媒體和產業服務平台，每日提供優質全球網路安全資訊與深度思考。