Hindistan’daki seçimler sırasında meydana gelen büyük bir veri sızıntısı, milyonlarca kişinin biyometrik bilgilerini açığa çıkardı. Polisin, askeri personelin ve sivillerin parmak izlerini ve yüz taramalarını içeren güvenli olmayan bir veritabanının sızdırılması, kimlik hırsızlığı ve seçim güvenliği konusunda endişelere yol açtı.
Biyometrik verilerin açığa çıkmasını içeren devasa bir veri sızıntısı, ülkenin genel seçimlere katıldığı bir dönemde Hint vatandaşlarını vurdu. Veri sızıntısı, araştırmacıların zaten seçimleri hedefleyen siber saldırıları ve veri sızıntılarını bildirdiği Hindistan’daki siber güvenliğin savunmasız durumu hakkında soruları gündeme getiriyor
En son olarak, siber güvenlik araştırmacısı Jeremiah Fowler tarafından, 1,6 milyondan fazla belge içeren, yanlış yapılandırılmış, parola korumalı olmayan bir veritabanı keşfedildi ve bu veritabanı, bunu Website Planet’e bildirdi.
Toplamda yaklaşık 1.661.59 (496,4 GB) dosyadan oluşan açığa çıkan dosyalar, yüz tarama görüntüleri, parmak izleri, imzalar ve polis memurlarının, askeri personelin, öğretmenlerin ve hatta demiryolu çalışanlarının kimlik işaretlerini içeren hassas biyometrik ayrıntıları içeriyordu.
Ayrıca doğum belgeleri, resimler, e-posta adresleri, iş başvuruları, diplomalar, sertifikalar ve diğer eğitimle ilgili dosyalar gibi önemli bilgiler de ifşa edilen verilerin bir parçasıydı.
Veritabanı 2021-2024 yıllarına ait kayıtlardan oluşuyordu. Polis ve kolluk kuvvetlerine yönelik Fiziksel Verimlilik Testleri (PET) olarak sınıflandırılan yaklaşık 284.535 belgede imza görüntüleri, PDF belgeleri, mobil uygulamalar ve kurulum verileri yer alıyordu; bunların bazıları sıkıştırılmış .zip formatında saklanıyordu.
Yüz Yazılımı Kurulumu başlıklı klasörlerden biri, uygulama aracılığıyla çekilen ve iletilen görüntü ve belgeleri içeriyordu. Dahili veritabanı adları, kullanıcı adı ve şifre bilgileri de düz metin olarak bulundu.
DüşünceGreen Teknolojileri ve Zamanlama Teknolojileri
Kayıtlar Hindistan merkezli iki ayrı firmaya, ThinkGreen Technologies ve Timing Technologies’e aitti. Her ikisi de uygulama geliştirme, RFID teknolojisi ve biyometrik doğrulama hizmetleri sağlar. Ancak bu firmalardan kimin sunucuya sahip olduğu belli değil.
Bu veritabanına kamunun erişimi aynı gün kısıtlandı. Ancak veritabanının açığa çıkma süresi ve biyometrik kayıtlara yetkisiz erişim olasılığı henüz bilinmiyor. Dahili bir adli tıp denetimi, herhangi bir şüpheli faaliyetin gerçekleşip gerçekleşmediğini ve kayıtlara başkaları tarafından erişilip erişilmediğini belirleyebilir.
Telegram’da Satılan Veriler
Bir araştırmada rapor 23 Mayıs 2024’te yayınlanmadan önce Hackread.com ile paylaşılan Fowler, bu verilerin halihazırda bir Telegram grubunda satışa sunulabileceğini ve bunun da milyonlarca insanı çok çeşitli tehditlerle karşı karşıya bırakabileceğini belirtti.
Parmak izleri gibi biyometrik veriler, bireyin kimliğine bağlı benzersiz tanımlayıcılardır ve bunların değiştirilmesi neredeyse imkansızdır. Bu veriler, kimliğe bürünme ve kimlik hırsızlığı da dahil olmak üzere çok sayıda kötü amaçlı amaç için kullanılabilir.
Uyandırma Çağrısı mı?
Bu veri sızıntısı, biyometrik verilerin toplanması, kullanılması ve saklanması ile ilgili etik ve düzenleyici zorlukları göstermektedir. Hindistan 2022’de bir yasa çıkardı polisin yetkileri genişletiliyor biyometrik verileri topla hüküm giymiş, tutuklanmış veya gözaltına alınmış kişilerden.
Bu olay, hükümetler ve özel firmalar için bir uyandırma çağrısı olup, vatandaşların mahremiyetini ve güvenliğini korumak için daha güçlü veri güvenliği uygulamalarına ve açık düzenlemelere duyulan ihtiyacı vurgulamaktadır.
İLGİLİ KONULAR
- Tehdit Aktörleri Hintli Mobil Kullanıcılara İlişkin 1,8 TB Veri Tabanını Satıyor
- En İyi ERP Firması Yarım Milyon Hintli İş Arayanın Verilerini Açıkladı
- Hacker, Hint HDFC Bank Yan Kuruluşundan 73 Milyon Kayıt Sızdırdı
- Yüzlerce Hintli Kamboçya Siber Suç Çetelerinden Kurtarıldı
- Hindistan ISP Hathway Veri İhlali: Hacker 4 Milyon Kullanıcıyı, KYC Verilerini Sızdırdı