Um pesquisador de segurança revelou que um bug em um site do governo estadual indiano expôs inadvertidamente documentos contendo números Aadhaar dos residentes, carteiras de identidade e cópias de suas impressões digitais.
O pesquisador de segurança, Sourajeet Majumder, identificou o bug no portal eletrônico do governo de Bengala Ocidental, o qual permite que residentes acessem serviços governamentais online, como certidões de nascimento, óbito e aplicativos. O bug permitia que Majumder obtivesse escrituras de terras presentes no site e-District, adivinhando números sequenciais de pedidos.
Os números de identificação do aplicativo são exclusivos e possuem 16 dígitos, emitidos pelo governo estadual ao solicitar cópias digitais de escrituras. Nem todos os números de identificação do aplicativo eram válidos, e com ferramentas publicamente disponíveis, como o Burp Suite, Majumder conseguia analisar o tráfego de rede e determinar a validade desses números.
Com acesso a um número de identificação de pedido, qualquer pessoa com login no sistema e-District poderia acessar uma cópia de uma escritura de terra. Alguns registros de escrituras continham nomes, fotografias e impressões digitais completas de várias pessoas, além dos números Aadhaar, necessários para acessar serviços bancários, telefonia celular e outros serviços governamentais.
Majumder relatou a vulnerabilidade à equipe de resposta a emergências informáticas da Índia, CERT-In, e ao governo de Bengala Ocidental, temendo que a falha pudesse ser explorada para fraudes de identidade. O bug foi prontamente corrigido.
Não se sabe se outras pessoas além de Majumder exploraram a vulnerabilidade. Representantes do governo de Bengala Ocidental e do CERT-In não responderam aos pedidos de comentários. O site e-District do governo afirma ter processado mais de 17 milhões de pedidos até o momento, embora não seja claro quantos deles envolvem títulos de terra.
A mídia local relata um aumento recente de fraudes relacionadas ao suposto roubo de informações biométricas, que criminosos estariam utilizando para esvaziar contas bancárias.