Un investigador de seguridad dice que un error en un sitio web del gobierno estatal indio reveló inadvertidamente documentos que contenían los números Aadhaar de los residentes, documentos de identidad y copias de sus huellas dactilares.
El error se solucionó la semana pasada después de que el investigador de seguridad lo revelara a las autoridades locales.
Sourajeet Majumder encontró el error en el portal electrónico del gobierno de Bengala Occidental, que permite a los residentes del estado acceder a servicios gubernamentales en línea, como la obtención de certificados de nacimiento y defunción y la creación de aplicaciones. Majumder dijo que el error del sitio web significaba que era posible obtener títulos de propiedad, que contienen registros sobre los propietarios de un terreno, desde el sitio web de e-District adivinando los números secuenciales en la solicitud de título.
Los números de identificación de solicitud son números únicos de 16 dígitos emitidos por el gobierno estatal cuando un residente local solicita una copia digital de una escritura.
Se expone una copia parcialmente borrosa de la escritura de propiedad de un residente de Bengala Occidental.
No todos los números de identificación de la solicitud eran válidos. El uso de herramientas disponibles públicamente como Burp Suite para analizar el tráfico de red que entra y sale del sitio significó que Majumder podía revisar listas completas de números de secuencia de aplicaciones y usar las respuestas del servidor para determinar si una aplicación era válida.
Con acceso a un número de identificación de solicitud, cualquier persona que haya iniciado sesión en el sistema e-District podría acceder a una copia de un título de propiedad. Dos registros de títulos de propiedad vistos por TechCrunch contienen los nombres de las personas involucradas en la escritura, sus fotografías y el juego completo de huellas dactilares de ambas manos. No es raro ver a varios individuos en un solo acto.
Las escrituras también contienen los documentos de identidad emitidos por el gobierno de las personas, incluidos sus números confidenciales de Aadhaar, que se asignan a cada ciudadano como parte de la base de datos biométrica y de identidad nacional de la India. Los números de Aadhaar son necesarios para acceder a servicios bancarios, planes de telefonía móvil y muchos servicios gubernamentales.
Majumder informó de la vulnerabilidad del sitio al Equipo de Respuesta a Emergencias Informáticas de la India, conocido como CERT-In, y al gobierno de Bengala Occidental, temiendo que la vulnerabilidad pudiera usarse indebidamente para fraude de identidad. El error se solucionó poco después.
Se desconoce si alguien además de Majumder descubrió el error. Los representantes del gobierno de Bengala Occidental y CERT-In no respondieron a las solicitudes de comentarios. El sitio web e-District del gobierno de Bengala Occidental afirma haber procesado más de 17 millones de solicitudes hasta la fecha, aunque no se sabe cuántas están relacionadas con títulos de propiedad.
Informes de los medios locales un aumento reciente en el fraude vinculado al presunto robo de información biométrica, que los delincuentes utilizaban para vaciar cuentas bancarias.
