Dados Aadhaar de Agricultores Expostos pelo Website online do PM Kisan do Governo, Relatórios de Pesquisadores de Segurança

Os dados do Aadhaar de um grande número de agricultores foram vazados por um web site do governo projetado para o bem-estar do setor agrícola na Índia, informou um pesquisador de segurança. O web site, chamado PM Kisan, permite que o governo distribua subsídios aos agricultores no âmbito do programa Pradhan Mantri Kisan Samman Nidhi. No entanto, devido a um problema, uma de suas partes estava expondo publicamente o número de agricultores inscritos em Aadhaar. O web site registrou mais de 110 milhões de agricultores desde seu lançamento em 2019.

O pesquisador de segurança Atul Nair disse em um publicar no Medium que uma parte do Website online da PM Kisan estava vazando o número Aadhaar de seus agricultores registrados.

“O web site fornece um endpoint, que retorna informações sobre o beneficiário. Esse endpoint também estava enviando números de Aadhaar”, disse Nair ao Units 360.

O problema foi detectado pela primeira vez pelo pesquisador no ultimate de janeiro e foi relatado pela Equipe de Resposta a Emergências de Computadores da Índia (CERT-In). Pouco depois de receber o relatório, a agência nodal encaminhou os detalhes às autoridades competentes. Eles, no entanto, aparentemente levaram alguns meses para corrigir a exposição.

Nair escreveu em seu submit que o problema foi corrigido no ultimate de maio. Ele disse ao Units 360 que havia confirmado que o problema não generation mais reproduzível.

No entanto, não está confirmado se um invasor conseguiu violar os dados até que eles fossem corrigidos.

O CERT-In agradeceu ao pesquisador por relatar o problema, embora não tenha confirmado explicitamente a correção ou se os dados não foram violados.

Units 360 entrou em contato com o Centro Nacional de Informática (NIC) – o desenvolvedor e mantenedor do web site PM Kisan. Este artigo será atualizado quando o departamento responder.

Aadhaar números de indivíduos no país não são de natureza confidencial, por a Autoridade de Identificação Única da Índia (UIDAI) — a autoridade estatutária que é mandatada para emitir os números de 12 dígitos identificados exclusivamente. Mesmo assim, faz restringir usuários de compartilhar cartões Aadhaar em plataformas públicas.

Esta não é a primeira vez que os dados do Aadhaar de indivíduos foram expostos por um web site do governo. Em 2019, o governo de Jharkhand supostamente expôs os números de identificação exclusivos de seus milhares de trabalhadores.

Alguns dias depois, a fabricante estatal de gás liquefeito de petróleo (GLP) Indane também teria exposto detalhes da Aadhaar de milhões de seus consumidores.