前情回顾·印度网络威胁态势
安全内参5月28日消息,在印度全国大选期间,发生了一起大规模的数据泄露事件,数百万人的生物特征信息遭到暴露。被泄露数据属于一个未经保护的数据库,其中含有警察、军人和平民的指纹和面部扫描图像,或可被用于身份盗窃和选举攻击。
2024年印度大选于4月19日至6月1日举行,在此期间该国公民遭遇了一起巨大数据泄露事件,大量生物特征数据被暴露。此前,研究人员已预警,可能发生针对选举的网络攻击和数据泄露。这一事件引发了对印度网络安全脆弱状态的质疑。
超160万份印度公民敏感文件公网暴露
日前,网络安全研究人员Jeremiah Fowler向Website Planet报告,发现了一个未正确配置密码保护的数据库,其中包括超过160万份文件。
总计166159份(496.4 GB)文件遭暴露,内含警察、军人、教师甚至铁路工人的面部扫描图像、指纹、签名和识别标记等敏感生物特征信息。
除生物识别数据外,出生证明、照片、电子邮件地址、就业申请、毕业证书、资格证书和其他教育相关文件等重要个人信息也在泄露之列。
该数据库涵盖2021年至2024年期间的数据记录。其中约有284535份文件记录了警察和执法人员的体能测试(PET)信息,包括签名图像、PDF文件、移动应用程序和安装数据,部分以压缩包zip格式存储。
其中一个名为“面部软件安装”的文件夹包含了通过该应用程序捕获和传输的图像和文件。内部数据库名称、登录信息和密码信息均以明文形式储存。
泄露的文件,图片来源:Website Planet
暴露泄露数据或归属两家供应商
泄露数据属于ThoughtGreen Technologies和Timing Technologies两家印度科技公司。两家公司均提供应用开发、射频识别(RFID)和生物特征验证服务。但是,目前尚不清楚这两家公司中哪一家拥有该数据库的托管服务器。
在数据泄露当天,公众被限制访问该数据库。然而,数据库暴露的具体时长、生物特征记录是否遭到未经授权访问仍然未知。公司需进行内部法务审计,以确定是否发生任何可疑活动,以及这些记录是否曾被他人访问。
暴露数据正在Telegram上贩卖
5月23日,Fowler与外媒Hackread分享了即将发表的研究报告。报告指出,这些数据可能已经在一个Telegram群组中公开出售,或给数百万人带来各种威胁。
指纹等生物特征数据是与个人身份相关联的唯一标识符,几乎不可能更改。这些数据可能被用于很多恶意目的,比如冒充和身份盗窃。
这一数据泄露事件凸显了生物特征数据收集、使用和存储面临的道德和监管挑战。2022年,印度通过法律,扩大了警方从罪犯、嫌疑人和被拘留者那里收集生物识别数据的权力。
此次事件为政府和私营企业敲响了警钟,强调加强数据安全实践,并通过立法保护公民隐私和安全的必要性。
参考资料:https://www.hackread.com/data-leak-indian-police-military-biometric-data/
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。