印度数字身份系统遭重大数据泄露：8.15亿条Aadhaar记录暗网出售

近日，印度的数字身份系统遭遇了一场严重的安全危机。据报道，约8.15亿条Aadhaar记录在暗网上以8万美元的价格挂牌出售。此次数据泄露源于对印度医学研究理事会（ICMR）数据库的成功攻击，导致包括姓名、地址、电话号码以及生物识别数据在内的敏感公民信息遭到泄露。黑客利用了印度集中式身份识别系统中未修补的安全漏洞，造成了这一灾难性事件。

印度数字身份系统遭入侵：Aadhaar卡信息泄露、暗网交易曝光

安全系统为何失守？

调查显示，此次Aadhaar数据泄露事件的根本原因在于售价仅为35美元的易受攻击软件补丁。这些补丁允许黑客绕过生物识别认证和GPS定位功能，从而禁用了注册操作员的虹膜扫描和指纹识别机制。这使得任何人都可以在未经验证的情况下生成Aadhaar号码。此外，政府网站提供的不受限制的API访问权限进一步加剧了问题，任何掌握基本信息的人都能轻松获取Aadhaar数据，严重违反了《Aadhaar法案》。

被泄露的8.15亿条记录包含了全面的个人数据，如姓名、地址、电话号码、护照号码、年龄、性别和地区信息。更令人担忧的是，印度医学研究理事会（ICMR）数据库的黑客攻击还导致了公民健康记录、疫苗接种史以及新冠病毒检测数据的外泄。这一事件被认为是印度数字身份系统历史上规模最大的数据泄露之一。

暗网交易与持续威胁

截至2024年，这批8.15亿条记录仍在暗网论坛上流通，并与其他敏感文件一起被追踪。整批数据的售价仅为8万美元，平均每条记录的成本不到一美分。这种低价使得犯罪分子能够轻易获取真实的印度公民数据，用于实施身份盗窃、金融诈骗以及网络钓鱼攻击。

值得注意的是，这并非印度数字身份系统的首次安全危机。早在2018年，一名记者仅通过WhatsApp花费500卢比便成功购买了所有Aadhaar记录的访问权限。同年，210个政府网站因明文发布Aadhaar号码而引发争议，一家国有公用事业公司也因文件夹未加保护而泄露了160万条记录。

此次Aadhaar数据泄露事件揭示了集中式生物识别系统的根本性缺陷。由于黑客窃取了大量生物识别数据，数百万印度公民可能面临永久性欺诈和身份盗窃的风险。暗网交易的存在以及印度数字身份系统的持续漏洞，使得这一安全隐患难以完全消除。