Acesso a base de dados biométrica de indianos é vendida por US$ 8 via WhatsApp

Aadhaar é uma base de dados biométrica gigante dos cidadãos da Índia, e agora jornalistas locais dizem que o sistema foi comprometido. É possível comprar o acesso total à ferramenta via WhatsApp por cerca de US$ 8.

• Pesquisadores desenvolvem método para rastrear celulares sem a necessidade de GPS
• Saiba quais dados os navegadores coletam sobre você

Com cerca de 1,2 bilhão de registros, o programa Aadhaar, lançado em 2009, é a maior base de dados nacional de pessoas do mundo. Os códigos de 12 dígitos atribuídos a cada indiano e a residentes do país são mantidos pela UIDAI (Unique Identification Authority), e a eles são atribuídos muitas informações pessoais, como dados biométricos de escaneamento de íris e impressões digitais.

O programa foi criado com o intuito de dar aos indianos fácil acesso a programas sociais relacionados a saúde, educação e de bem estar social; no entanto, a iniciativa começou a se expandir rapidamente em 2014, pouco tempo após o partido INC (Indian National Congress) não ter ido bem nas eleições parlamentares. O governo, então, começou a incluir os números Aadhaar nas bases de dados do governo, como reporta Pranav Dixit, do BuzzFeed, e grandes empresas de tecnologia, como Amazon e Uber, começaram a acessar essas informações para seus propósitos.

Brechas de segurança

– Usuário e senha via WhatsApp

O Aadhaar já sofreu outras brechas; o Gizmodo já falou de um caso em que 130 milhões de indianos corriam risco de ter suas informações biométricas vazadas no ano passado. No entanto, relatos de fontes locais, citadas por Dixit, indicam que a segurança em torno da base de dados é pior do que se imaginava.

Jornalistas do The Tribune dizem que por 500 rupias (cerca de US$ 8), eles conseguiram comprar um usuário e senha que deu a eles acesso completo ao sistema Aadhaar. Tudo isso só negociando pelo WhatsApp. Desnecessário dizer que funcionários da UIDAI sabiam e, segundo o The Tribune, as autoridades consideraram esta “a maior breja de segurança nacional.”

Após a publicação da reportagem, o UIDAI disse que não houve brecha, mas um potencial caso de acesso não-autorizado a uma base de dados.

– Acesso completo a dados

Em uma outra matéria publicada pelo site The Quint, é detalhada uma falha de segurança que dá a qualquer pessoa com acesso de administrador a habilidade de conceder acesso para quem quiser.

“Vamos considerar que uma pessoa X, que é administradora, dá acesso a uma pessoa Y e a uma pessoa Z”, explica o site. “As pessoas Y e Z podem se logar no portal do Aadhaar e adicionar as pessoas A, B, C e assim por diante.” Com esses privilégios, os usuários teriam acesso a informações como nome, endereço, data de aniversário, nomes dos pais, gênero, números do telefone, idiomas que fala — porém, nesse caso não dá para acessar dados da íris ou impressões digitais.

Naturalmente, a controvérsia maior sobre o caso está concentrada no potencial de invasão de privacidade, mas o roubo de identidade é uma preocupação maior. Em uma entrevista no ano passado, um membro do INC disse ao Gizmodo que enquanto o sistema em si é “impressionantemente moderno”, e, em mãos corretas, capaz de promover o bem, a falta de leis de privacidade e regulamentação acaba facilitando este tipo de coleta massiva de dados.

Para piorar, um sistema tecnológico feito para parear números únicos com dados biométricos estava se transformando — em função da falta de sensores biométricos pelo país — em algo parecido com o CPF (Cadastro de Pessoa Física). Basicamente, os números Aadhaar não são frequentemente checados para ver se batem com as digitais ou a íris dos portadores dos cartões numéricos, o que expõe ainda mais as falhas de segurança do sistema.

No ano passado, uma brecha de quatro bases de dados do governo vazou entre 130 e 135 milhões de números Aadhaar. E isso foi um mês após uma planilha, que pode ser achada dando um Google, com o vazamento de milhares de números Asdhaar, endereços e números de seguridade social.

[BuzzFeed]