Un investigador de seguridad dice que un error en un sitio web del gobierno estatal indio reveló inadvertidamente documentos que contenían los números Aadhaar, documentos de identidad y copias de sus huellas dactilares de los residentes.
El error se solucionó la semana pasada después de que el investigador de seguridad lo revelara a las autoridades locales.
Sourajeet Majumder encontró el error en el portal web e-District del gobierno de Bengala Occidental que permite a los residentes del estado acceder a servicios gubernamentales en línea, como obtener certificados de nacimiento y defunción y crear solicitudes. Majumder dijo que el error del sitio web significaba que era posible obtener títulos de propiedad, que contienen registros sobre los propietarios de un terreno, desde el sitio web de e-District adivinando números secuenciales de solicitud de títulos.
Los números de identificación de solicitud son números únicos de 16 dígitos emitidos por el gobierno estatal cuando un residente local solicita una copia digital de una escritura.
Una copia parcialmente borrosa de la escritura de propiedad de un residente de Bengala Occidental expuesta.
No todos los números de identificación de las solicitudes eran válidos. El uso de herramientas disponibles públicamente como Burp Suite para analizar el tráfico de red dentro y fuera del sitio web significó que Majumder podía recorrer listas completas de números de solicitud secuenciales y usar las respuestas del servidor para determinar si un número de identificación de aplicación era válido.
Con acceso a un número de identificación de solicitud, cualquier persona que inicie sesión en el sistema e-District podría acceder a una copia de un título de propiedad. Dos registros de títulos de propiedad vistos por TechCrunch contienen los nombres de las personas involucradas en la escritura, sus fotografías y el conjunto completo de huellas dactilares de ambas manos. No es raro ver a varias personas en una sola escritura.
Las escrituras también contienen los documentos de identidad emitidos por el gobierno de las personas, incluidos sus números confidenciales de Aadhaar, que a cada ciudadano se le asigna como parte de la base de datos biométrica y de identidad nacional de la India. Los números de Aadhaar son necesarios para acceder a la banca, a los planes de telefonía móvil y a muchos servicios gubernamentales.
Majumder informó sobre la vulnerabilidad del sitio web al equipo de respuesta a emergencias informáticas de la India, conocido como CERT-In, y al gobierno de Bengala Occidental, por temor a que la vulnerabilidad pudiera usarse indebidamente para fraude de identidad. El error se solucionó poco después.
No se sabe si alguien más además de Majumder descubrió el error. Los representantes del gobierno de Bengala Occidental y CERT-In no respondieron a las solicitudes de comentarios. El sitio web e-District del gobierno de Bengala Occidental dice que ha procesado más de 17 millones de solicitudes hasta la fecha, aunque no se sabe cuántas se relacionan con títulos de propiedad.
Los medios locales informan de un reciente aumento del fraude relacionado con el presunto robo de información biométrica, que se dice que los delincuentes utilizan para vaciar cuentas bancarias.