大量印度军警人员生物特征数据在公网暴露后遭贩卖

2024年5月28日23:02:46评论7 views字数 1370阅读4分34秒阅读模式

关注我们

带你读懂网络安全

暴露数据归属两家印度生物识别供应商，这些数据可能已经在Telegram上被贩卖。

前情回顾·印度网络威胁态势

安全内参5月28日消息，在印度全国大选期间，发生了一起大规模的数据泄露事件，数百万人的生物特征信息遭到暴露。被泄露数据属于一个未经保护的数据库，其中含有警察、军人和平民的指纹和面部扫描图像，或可被用于身份盗窃和选举攻击。

2024年印度大选于4月19日至6月1日举行，在此期间该国公民遭遇了一起巨大数据泄露事件，大量生物特征数据被暴露。此前，研究人员已预警，可能发生针对选举的网络攻击和数据泄露。这一事件引发了对印度网络安全脆弱状态的质疑。

超160万份印度公民敏感文件公网暴露

日前，网络安全研究人员Jeremiah Fowler向Website Planet报告，发现了一个未正确配置密码保护的数据库，其中包括超过160万份文件。

总计166159份（496.4 GB）文件遭暴露，内含警察、军人、教师甚至铁路工人的面部扫描图像、指纹、签名和识别标记等敏感生物特征信息。

除生物识别数据外，出生证明、照片、电子邮件地址、就业申请、毕业证书、资格证书和其他教育相关文件等重要个人信息也在泄露之列。

该数据库涵盖2021年至2024年期间的数据记录。其中约有284535份文件记录了警察和执法人员的体能测试（PET）信息，包括签名图像、PDF文件、移动应用程序和安装数据，部分以压缩包zip格式存储。

其中一个名为“面部软件安装”的文件夹包含了通过该应用程序捕获和传输的图像和文件。内部数据库名称、登录信息和密码信息均以明文形式储存。

泄露的文件，图片来源：Website Planet

暴露泄露数据或归属两家供应商

泄露数据属于ThoughtGreen Technologies和Timing Technologies两家印度科技公司。两家公司均提供应用开发、射频识别（RFID）和生物特征验证服务。但是，目前尚不清楚这两家公司中哪一家拥有该数据库的托管服务器。

在数据泄露当天，公众被限制访问该数据库。然而，数据库暴露的具体时长、生物特征记录是否遭到未经授权访问仍然未知。公司需进行内部法务审计，以确定是否发生任何可疑活动，以及这些记录是否曾被他人访问。

暴露数据正在Telegram上贩卖

5月23日，Fowler与外媒Hackread分享了即将发表的研究报告。报告指出，这些数据可能已经在一个Telegram群组中公开出售，或给数百万人带来各种威胁。

指纹等生物特征数据是与个人身份相关联的唯一标识符，几乎不可能更改。这些数据可能被用于很多恶意目的，比如冒充和身份盗窃。

这一数据泄露事件凸显了生物特征数据收集、使用和存储面临的道德和监管挑战。2022年，印度通过法律，扩大了警方从罪犯、嫌疑人和被拘留者那里收集生物识别数据的权力。

此次事件为政府和私营企业敲响了警钟，强调加强数据安全实践，并通过立法保护公民隐私和安全的必要性。

参考资料：hackread.com

原文始发于微信公众号（安全内参）：大量印度军警人员生物特征数据在公网暴露后遭贩卖

信息安全漏洞月报（2024年6月）