Digital Life
02.02.2019

Sozialversicherungsnummern von Hunderttausenden im Internet

Ein Sicherheitsleck zeigt, wie schlecht in Indien Daten von Regierungsangestellten geschützt sind.

Eines der Websysteme, das seit 2014 zur Aufzeichnung der Anwesenheit von Regierungsangestellten für den indischen Bundesstaat Jharkhand verwendet wurde, ist ohne Passwort ungeschützt im Netz abrufbar gewesen, wie Techcrunch berichtet.

Damit war es praktisch jedem möglich, die Namen, Jobtitel und Funktionen der Regierungsangestellten sowie deren Foto und Sozialversicherungsnummer abzufragen. Betroffen sind ungefähr 166.000 Beschäftigte. Auch Rufnummern von Mitarbeitern sind in dieser Datenbank gespeichert.

Nummer für alles

Die Sozialvericherungsnummer besteht in Indien aus zwölf Stellen und wird dort auch verwendet, um Bankkonten einzurichten oder SIM-Karten zu registrieren, ein Uber zu rufen oder etwas bei Amazon zu bestellen. Das Datenleck ist kein direkter Verstoß gegen die zentrale Datenbank Aadhaar, die von der Regulierungsbehörde, der Unique Identification Authority of India (UIDAI), betrieben wird, stellt jedoch einen weiteren Verantwortungsverlust der mit dem Schutz ihrer Daten beauftragten Behörde dar.

Aadhaar-Nummern sind zwar nicht streng geheim, werden jedoch ähnlich wie die Sozialversicherungsnummern bei uns behandelt. Jeder der 1,23 Milliarden indischen Bürger, die in Aadhaar eingeschrieben sind, das sind mehr als 90 Prozent der Bevölkerung, kann diese Nummer verwenden, um seine Identität überprüfen zu lassen.

Daten einfach abrufbar

Es ist unklar, warum die Regierungsstelle in Jharkhand für jeden zugänglich war. Laut Techcrunch seien nur „geringe Anstrengungen“ unternommen worden, um die Sicherheit des Systems zu gewährleisten. Die Website war leicht auf einer Subdomain zu finden und wurde auch von Google indiziert. Schutz gab es damit praktisch keinen.

Techcrunch bat Baptiste Robert, einen französischen Sicherheitsforscher, um einen Blick auf die Website zu werfen. Robert hat bereits Erfahrung mit der Aufdeckung von Datenlecks in Bezug auf Aadhaar. Mit weniger als einhundert Zeilen Python-Code zeigte Robert, dass es für jeden leicht ist, die gesamte Website zu sichten, um alle Fotos und Aadhaar-Nummern der Mitarbeiter herunterzuladen.

Die indische Regierung hat die Medienanfrage von Techcrunch nicht beantwortet, die Website wurde allerdings kurz darauf offline genommen. Die zentrale Datenbank Aadhaar war bereits 2017 in Verruf geraten. Damals war die Biometrie-Datenbank geknackt worden. Anstatt aus Fehlern und Pannen zu lernen, hat die zuständige Behörde UIDAI stattdessen eine lange Geschichte darin, Beweise für Sicherheitsvorfälle unter den Tisch zu kehren und Ergebnisse von Sicherheitsforschern als "falsche Nachrichten" zu bezeichnen.