印度国民身份认证局(UIDAI),是该国生物身份辨识数据库唯一的合法管理机构。该局在去年11月才声称,数据库绝对安全可靠,不会发生任何资料泄露问题,但在今年1月和2月,却相继爆出10亿多民众资料外泄丑闻,被泄露的个人资料包括指纹、姓名、身份证号等。
印度《论坛报》今年1月揭露,其记者透过网络管道,10分钟内就能以500卢比(约30令吉)买到安达尔系统的“后门金钥”,毫无限制地存取全国11亿登录国民的个人资料——甚至再加购300卢比(约18令吉),就能盗印晶片身分证、冒充他人游走四方,消息曝光后震惊全印度。
当时报导指,过去数月来,该报记者不断在社交网络上听闻安达尔的安全漏洞,并透过社交媒体WhatsApp,联系到了贩售“后门金钥”的匿名群组。
整起交易过程不到10分钟,记者才刚用第三方支付平台Paytm转账500卢比后,随即收到了账号密码。只要透过后门连结,就能轻易登入安达尔的数据库,全印度11亿登陆户的姓名、照片、手机、住址等全都一览无遗。
在进入数据库后,记者又再支付了300卢比,另一匿名“客服”即透过远端操控,为记者下载足以盗印指定登录者晶片身份证的特殊资料。简便的交易流程,让《论坛报》上下大感意外,外泄时间更可能超过半年以上。
UIDAI随即否认有关报导,并指最关键的虹膜与指纹数据库并未外泄;至于盗印晶片身份证,则可能是制卡承包商遭解约后的非法行为,警方已立案调查。
尽管UIDAI反复强调,安达尔并不存在什么重大的泄露危机,但有证据表明,目前所出现的资料泄露问题,已导致印度人民更容易遭受网络钓鱼、身份欺诈等威胁。去年12月,印度的电信巨头Airtel在没有获得用户同意的情况下,便擅自公开了300万用户的支付账户。
