Les données d’Aadhaar sur les agriculteurs exposées par le site Web du Premier ministre Kisan du gouvernement, rapports d’un chercheur en sécurité

Les données Aadhaar d’un grand nombre d’agriculteurs ont été divulguées par un site Web gouvernemental conçu pour le bien-être du secteur agricole en Inde, a rapporté un chercheur en sécurité. Le site Web, appelé PM Kisan, permet au gouvernement de distribuer des subventions aux agriculteurs dans le cadre du programme Pradhan Mantri Kisan Samman Nidhi. Cependant, en raison d’un problème, l’une de ses parties exposait publiquement le nombre Aadhaar d’agriculteurs inscrits. Le site Web a enregistré plus de 110 millions d’agriculteurs depuis son lancement en 2019.

Le chercheur en sécurité Atul Nair a déclaré dans un Publier sur Medium qu’à part le Site Web de PM Kisan divulguait le numéro Aadhaar de ses agriculteurs enregistrés.

« Le site Web fournit un point de terminaison, qui renvoie des informations sur le bénéficiaire. Ce point de terminaison envoyait également des numéros Aadhaar », a déclaré Nair à thebuzzly.

Le problème a été repéré pour la première fois par le chercheur fin janvier et a été signalé par l’équipe indienne d’intervention en cas d’urgence informatique (CERT-In). Peu de temps après avoir reçu le rapport, l’agence nodale a transmis les détails aux autorités concernées. Cependant, ils ont apparemment mis quelques mois à réparer l’exposition.

Nair a écrit dans son article que le problème avait été résolu fin mai. Il a déclaré à thebuzzly qu’il avait confirmé que le problème n’était plus reproductible.

Cependant, il n’est pas confirmé si un attaquant a pu violer les données jusqu’à ce qu’elles soient corrigées.

CERT-In a apprécié le chercheur pour avoir signalé le problème, bien qu’il n’ait pas explicitement confirmé le correctif ou si les données n’avaient pas été violées.

thebuzzly a contacté le National Informatics Center (NIC) – le développeur et le mainteneur du site Web PM Kisan. Cet article sera mis à jour lorsque le département répondra.

Les nombres Aadhaar d’individus dans le pays ne sont pas de nature confidentielle, par l’Autorité d’identification unique de l’Inde (UIDAI) – l’autorité statutaire qui est mandatée pour émettre les numéros d’identification unique à 12 chiffres. Néanmoins, cela fait restreindre les utilisateurs de partager des cartes Aadhaar sur des plateformes publiques.

Ce n’est notamment pas la première fois que les données Aadhaar d’individus sont exposées par un site Web gouvernemental. En 2019, le gouvernement du Jharkhand aurait révélé les numéros d’identification uniques de ses milliers de travailleurs.

Quelques jours plus tard, le fabricant public de gaz de pétrole liquéfié (GPL) Indane aurait également révélé les détails Aadhaar de millions de ses consommateurs.