印度國民資料庫Aadhaar被曝嚴重漏洞，11億公民信息可低價買賣

科技 01-15

編譯 | 陸一

編輯 | 呂夢

微信 | ai_xingqiu

網址 | 51aistar.com

自2009年起，印度開始推行生物身份識別項目Aadhaar，至今已經收集了11.3億印度居民和公民的生物識別數據（照片、十指指紋和虹膜掃描），這些數據能為每個人提供一個唯一的12位身份證明編號。

但是越來越多的證據表明，政府對這個資料庫的保護做得並不到位，這些信息正面臨著嚴重的泄露危機。

2018年1月4日，印度《論壇報》稱，有人正在以低得驚人的價格出售Aadhaar資料庫。

該消息由一位名叫Bharat Bhushan Gupta的鄉村企業家爆出。Gupta表示，此前有人在移動社交工具WhatsApp上向他退推銷Aadhaar資料庫。購買之後他發現，Aadhaar資料庫為他提供了大量意想不到的用戶信息。

考慮到這可能會涉及到大規模的隱私泄露，於是Gupta主動向印度特立識別委員會（UIDAI）反映了該問題。之後，Gupta又聯繫了印度《論壇報》的記者Rachna Khaira。隨後，Rachna Khaira對這一事件展開了一些調查並發文報道。

Rachna Khaira的報道在印度民眾中引起了軒然大波，人們紛紛要求政府給出一個說法。

政府聲稱，「信息泄露是失實報道」。針對這一問題，UIDAI先是對Rachna Khaira提起刑事訴訟，聲稱其報道是「誤報」。

之後，信息技術部部長Ravishankar Prasad做出了以下回應：印度政府既支持媒體工作人的言論自由，也保證Aadhaar的信息安全。信息泄露與否我們還在調查中，同時也希望《論壇報》和該事件的相關記者能積極配合警方的調查。

其實這並不是UIDAI第一次把矛頭指向事件曝光者。2017年年初，UIDAI就曾對CNN-News的記者Debayan Ray提起刑事訴訟，因為他利用同一套生物識別特徵註冊了兩個Aadhaar ID。

此後，UIDAI又對企業家Sameer Kochchar提起刑事訴訟，因為他在自己的博客中指出Aadhaar缺乏應對黑客的能力。從以上三個案例可以看出，當人們對Aadhaar的信息安全性提出質疑時，UIDAI一直聲稱「這些報道有誤」。

Aadhaar的設計存在著嚴重的漏洞

Aadhaar資料庫不僅收集人們的電話號碼、家庭住址等基本信息，還收集指紋、虹膜掃描等生物信息。通過這些信息，Aadhaar可以為居民和公民提供唯一的12位身份證明編號。這些信息都收入在一個由政府統一管理的資料庫里，允許一些政府機構在處理公共管理事物時進行訪問。

雖然數據的收集有利於提高政府的工作效率，但是數據量如此之大，不免會增加整個系統的脆弱性，就算只是出現一個小小的問題，也可能會導致數百萬印度居民和公民的信息遭遇泄露危機。

2017年6月，推特用戶twiterrati就曾向印度政府指出，Aadhaar資料庫的登錄和e-Aadhaar的下載存在著一定的風險。

印度電子信息技術部在20015年~2016年的年度報告中提到，面對Aadhaar這個龐大的資料庫，他們使用的操作設備之一是一個名為DBT Seeding Data Viewer (DSDV)的系統。DSDV允許第三方通過白名單IP地址登入Aadhaar資料庫（不需要獲得UID持有者的許可），這就意味著任何有著正確IP地址的人都可以訪問該系統。

這一嚴重的設計漏洞使得印度數百萬人口的個人信息處於巨大的泄露的危機之中。

有確鑿的證據表明，地方政府和中央政府的一些部門已經泄露了一些銀行賬戶信息和Aadhaar信息，其中被泄露者主要是一些退休人員、未成年人、獎學金資助者。

2017年10月，另一推特用戶iam_anandv指出，即使是在谷歌上就UIDAI的宣傳詞進行一個簡單的搜索，也會跳出數百條與Aadhaar相關的細節。由此可見，Aadhaar的安全性還有待考證。

2017年11月，有數據證明，超過200個政府網站都在展示Aadhaar的信息。

UIDAI的首席執行官Ajay Bhushan Pandey反覆強調，Aadhaar並不存在什麼重大的泄露危機。但是有證據表明，目前所出現的信息泄露問題已經導致印度人民更容易遭受網路釣魚、身份欺詐等威脅，例如，2017年12月，印度的電信巨頭Airtel在沒有獲得用戶同意的情況下，擅自公開了300萬用戶的支付賬戶。

儘管相類似的報道不斷出現，但是信息泄露問題仍然沒有得到有效的解決。另外，這一問題已經受到了國際隱私專家的關注。Graham Greenleaf教授最近指出，Aadhaar資料庫的信息泄露是對隱私權的進一步發展極其不利。

儘管UIDAI對隱私泄露的處理不盡如人意，但是印度民眾還是懷抱著一絲希望——他們寄最後一絲希望於印度最高法院。目前，印度最高法院正在舉行聽證會，以決定總理納倫德拉·莫迪（Narendra Modi）行政機構是否將Aadhaar與私人和公共服務聯繫在一起，侵犯了個人的隱私權。