近日,有消息称,在印度全国大选期间,发生了一起大规模的数据泄露事件,
数百万人的生物特征信息遭到暴露。
被泄露数据属于一个未经保护的数据库,其中含有警察、军人和平民的指纹和面部扫描图像,或可被用于身份盗窃和选举攻击。
经网络安全研究人员查证,这是一个未正确配置密码保护的数据库,其中包括超过160万份文件。总计166159份(496.4 GB)文件遭暴露,内含警察、军人、教师甚至铁路工人的面部扫描图像、指纹、签名和识别标记等敏感生物特征信息。 除生物识别数据外,出生证明、照片、电子邮件地址、就业申请、毕业证书、资格证书和其他教育相关文件等重要个人信息也在泄露之列。 该数据库涵盖2021年至2024年期间的数据记录。其中约有284535份文件记录了警察和执法人员的体能测试(PET)信息,包括签名图像、PDF文件、移动应用程序和安装数据,部分以压缩包zip格式存储。其中一个名为“面部软件安装”的文件夹包含了通过该应用程序捕获和传输的图像和文件。内部数据库名称、登录信息和密码信息均以明文形式储存。
泄露数据属于ThoughtGreen Technologies和Timing Technologies两家印度科技公司。两家公司均提供应用开发、射频识别(RFID)和生物特征验证服务。但是,目前尚不清楚这两家公司中哪一家拥有该数据库的托管服务器。在数据泄露当天,公众被限制访问该数据库。然而,数据库暴露的具体时长、生物特征记录是否遭到未经授权访问仍然未知。公司需进行内部法务审计,以确定是否发生任何可疑活动,以及这些记录是否曾被他人访问。
5月23日,Fowler与外媒Hackread分享了即将发表的研究报告。报告指出,这些数据可能已经在一个Telegram群组中公开出售,或给数百万人带来各种威胁。指纹等生物特征数据是与个人身份相关联的唯一标识符,几乎不可能更改。这些数据可能被用于很多恶意目的,比如冒充和身份盗窃。这一数据泄露事件凸显了生物特征数据收集、使用和存储面临的道德和监管挑战。2022年,印度通过法律,扩大了警方从罪犯、嫌疑人和被拘留者那里收集生物识别数据的权力。此次事件为政府和私营企业敲响了警钟,强调加强数据安全实践,并通过立法保护公民隐私和安全的必要性。
