作为印度国内最大的数字支付运营商之一,MobiKwik上个月遭遇黑客攻击。如果不加重视,未来恐怕还将出现更多类似事件。

上个月,有黑客在暗网网站放话,称掌握着来自印度移动支付巨头MobiKwik的8.2 TB用户数据。

作为印度最大的移动支付公司之一,MobiKwik拥有超过1.2亿用户,此次泄露了约1亿用户的个人信息,包括电话号码、邮箱、签名、交易日志、部分付款卡号、密码哈希以及个人身份证明文件,全部存放在一套可供搜索的数据库内。犯罪分子对这批数据开出了1.5个比特币的赎金,约88000美元。

近年来印度国内频频曝出重大泄露事件

MobiKwik事件可能成为印度国内规模最大的违规事件,但在此之前已经出现过不少类似问题。而且如果印度立法者与监管机构不尽快对国内消费群体的数字安全问题给予关注,后续恐怕还会出现更多更严重的事件。

今年1月,印度支付平台Juspay数据泄露事件传出,超过1亿用户的借记卡与信用卡信息遭到泄露。

去年年底,在线食品超市BigBasket遭遇类似问题,2000万客户的姓名、邮箱、密码哈希、联系电话以及收货地址不慎外流,且全部被摆在暗网上出售。

2018年至2019年,黑客还窃取到680万印度民众的医疗保健记录。

2019年,印度最大银行印度国家银行一台未受保护的服务器遭到意外访问,数百万客户的银行余额和最近交易记录等大量财务信息暴露在网上。

类似的事件还有很多。印度计算机应急与响应小组估计,从2015年到2020年,印度共出现145万起网络安全漏洞利用与黑客攻击事件,且事件数量仍在逐年增长。2017年至2018年期间,网络安全事件数量跃升近四倍。而到2020年前八个月,上报的网络安全事件已多达69万起。2019年至2020年,印度约90个归属于中央及各地方政府网站先后遭遇黑客攻击与破坏

网络不再安全,数字化转型的底板失陷

网络安全事件的激增,也与印度国内数字支付服务的普及趋势相吻合。特别是自2016年11月无现金政策出台以来,印度政府开始通过激励与优惠项目引导更多印度民众转向数字支付业务。短短几年之内,支付平台、移动钱包及其他消费类软件开始激增,这场无现金浪潮(甚至无需借记卡或信用卡)也取得了初步成功。

与此同时,印度政府敦促居民采用Aadhaar数字身份证系统。该系统为每位居民提供一条唯一的12位数字编号,并关联民众的指纹与视网膜扫描记录。目前,Aadhaar已经成为全球规模最大的生物识别方案。虽然这款工具的初衷,在于消除非法补贴转移并打击腐败行为,但如今的它已经成为一种覆盖近10亿印度国民的普惠性平台,囊括银行与付款账户、所得税详情、财产所有权等敏感信息。更值得警惕的是,这些敏感数据的流入,并没能让Aadhaar数据库在监管与安全保障方面迎来同步升级。

关注言论自由、数字监控与隐私保护的独立数字自由组织“互联网自由基金会”于2020年11月发布的一份报告发现,Aadhaar中有大量数据遭遇“黑客窃取,或经由未受适当保护的服务器或政府网站而意外流出”,并在网上待价而沽。直到2019年,贾坎德邦政府网站上还直接发布有约10万名政府工作人员的Aadhaar详细信息。

监管法律缺失,用户数据安全权利缺乏保障

如今,新冠疫情迫使印度的工作、娱乐与教育产业掀起一轮网络转移浪潮,但数据保护方面的法律、法规与框架仍然缺席。印度的现行法律显然不足以解决当前数字系统与在线支付面临的现实难题。自2019年以来,印度也曾尝试推动《个人数据保护法案》,旨在约束私营企业在管理用户个人数据方面需要遵循的规则与条款。这也可以算是印度民众唯一的依靠与希望,除此之外用户的数据权利再无任何保障。

互联网自由基金会的Rohin Garg在采访中强调,目前印度国内的大部分数据库“在底层架构上”都极不安全。从私营企业到公共银行,每一家印度机构都随时面临着数据泄露或黑客攻击的风险。

而在薄弱的监管环境之下,MobiKwik甚至在被迫公布真相之前成功把事件隐瞒达一个月之久。到事件曝光时,面对印度储备银行下达的取证审查令,MobiKwik仍坚持认为自己的系统安全无忧。

但根据Garg的介绍,目前印度起草的拟议数据保护法案并不能解决消费者数据安全层面的关键缺陷。他提到,“例如,该法案没有强制要求在发生违规事件时,机构应尽快向受影响用户发出通报。另一个大问题在于,法案中缺乏针对网络安全研究人员的法律保护条款,MobiKwik事件就暴露出了这方面隐患。总而言之,我们需要的不仅是一份数据保护法案,而是一套能够真正保障用户数字权利的指导框架。”

虽然消费者安全方面存在诸多问题,但印度仍是世界范围内数字化发展速度最快的国家之一。但由于社会经济层面的现实问题与极为低下的数字素养,目前印度的发展态势出现了严重撕裂。一方面,还有大量人口没有、也根本不会使用智能手机;另一方面,无现金支付政策迫使民众广泛接纳新的交易形式,包括金融交易乃至其他交易。很明显,只有强大的数据法律才能阻止持续涌现的网络安全事件,真正为印度民众赋予必要的数据权利。

参考来源:restofworld.org

声明:本文来自互联网安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。