Pelanggaran keamanan pada portal utama Pemerintah di negara bagian Rajasthan di India, mengungkap dokumen sensitif dan informasi pribadi jutaan penduduk, meningkatkan kekhawatiran serius mengenai perlindungan data di tingkat negara bagian di India. Kerentanan tersebut, yang ditemukan oleh peneliti keamanan Viktor Markopoulos, memengaruhi portal Jan Aadhaar, sebuah program yang menyediakan pengenal tunggal untuk mengakses skema kesejahteraan pemerintah.
Kerentanan ini terungkap salinan kartu Aadhaar, akta kelahiran dan nikah, tagihan listrik, dan laporan pendapatan terkait pendaftar. Informasi pribadi seperti tanggal lahir, jenis kelamin, dan nama ayah juga diungkap. Informasi sensitif ini dapat disalahgunakan untuk pencurian identitas, penipuan keuangan, atau aktivitas jahat lainnya.
Aadhaar adalah nomor identifikasi 12 digit yang diberikan kepada seluruh penduduk India berdasarkan data biometrik dan demografi mereka. Tujuan utama Aadhaar adalah untuk menyederhanakan proses administrasi, seperti mengakses subsidi pemerintah, mengajukan pajak, dan memverifikasi identitas. Dengan memberikan nomor identifikasi unik, Aadhaar bertujuan untuk menyederhanakan proses ini, mengurangi penipuan, dan meningkatkan efisiensi.
Markopoulos, bekerja sama dengan perusahaan keamanan siber CloudDefense.ai, mengidentifikasi dua bug kritis di portal Jan Aadhaar pada Desember 2023. Satu bug memungkinkan siapa pun mengakses dokumen pribadi hanya dengan mengetahui nomor telepon pendaftar. Cacat lainnya memungkinkan penyerang mengambil data sensitif dengan mengeksploitasi kelemahan dalam proses verifikasi kata sandi satu kali pada sistem.
Meskipun melaporkan kerentanan tersebut ke Otoritas Jan Aadhaar pada bulan Desember, Markopoulos tidak menerima tanggapan. Setelah menunggu seminggu, dia memutuskan untuk melaporkan masalah tersebut ke Tim Tanggap Darurat Komputer India (CERT-In) untuk mendapatkan bantuan lebih lanjut. menurut a laporan oleh TechCrunch.dll.
CERT-In, sebagai badan nasional untuk menanggapi insiden keamanan komputer di negara tersebut, segera melakukan intervensi dan mengkonfirmasi keberadaan bug tersebut. Mereka bekerja dengan Otoritas Jan Aadhaar untuk memperbaiki kerentanan yang ditemukan. Bug tersebut berhasil diperbaiki oleh pihak berwenang minggu lalu, memastikan bahwa sistem aman dan dapat diandalkan. Markopoulos senang dengan hasilnya dan menyatakan apresiasinya atas tanggapan cepat CERT-In dalam memperbaiki masalah ini.
Portal Jan Aadhaar, diluncurkan pada tahun 2019, memiliki lebih dari 78 juta pendaftar individu dan 20 juta keluarga. Tujuannya adalah untuk menawarkan “Satu Nomor, Satu Kartu, Satu Identitas” untuk mengakses skema kesejahteraan negara di Rajasthan. Namun, program ini beroperasi secara independen dari kartu Aadhaar biasa, sebuah program identitas nasional yang dikelola oleh Unique Identification Authority of India (UIDAI).
Kelemahan keamanan dalam sistem negara ini menambah kekhawatiran baru-baru ini seputar Aadhaar, termasuk pelanggaran data besar-besaran pada Oktober 2023 yang mengungkap informasi pribadi 81 crore orang India. Intervensi cepat CERT-In dalam menyelesaikan kerentanan menggarisbawahi pentingnya respons cepat untuk melindungi data sensitif warga.
______
Diterjemahkan dari thetechportal.com
