[ad_1]
Un investigador de seguridad dice que un error en un sitio web del gobierno estatal indio reveló accidentalmente documentos que contenían los números de Aadhaar de los residentes, tarjetas de identificación y copias de sus huellas digitales.
El error se solucionó la semana pasada después de que el investigador de seguridad informara del error a las autoridades locales.
Sourajeet Majumder descubrió la falla en el portal web e-District del gobierno de Bengala Occidental, que permite a los ciudadanos acceder a servicios gubernamentales en línea, como certificados de nacimiento y defunción y aplicaciones de construcción. Majumder dijo que el error del sitio web significa que es posible obtener títulos de propiedad, que contienen registros de los propietarios de una propiedad, desde el sitio web de e-District adivinando números consecutivos de solicitud de títulos.
Los números de identificación de solicitud son números únicos de 16 dígitos asignados por el gobierno estatal cuando un residente solicita una copia digital de una escritura.
![un ejemplo de cómo se ve un título de propiedad, ligeramente borroso](https://techcrunch.com/wp-content/uploads/2023/10/west-bengal-deed.jpg)
Una copia parcialmente borrosa del título de propiedad de un residente expuesto de Bengala Occidental.
No todos los números de identificación de las solicitudes eran válidos. Al utilizar herramientas disponibles públicamente como Burp Suite para analizar el tráfico de la red dentro y fuera del sitio web, Majumder pudo revisar listas completas de números de aplicaciones consecutivos y determinar si un número de identificación de la aplicación era válido en función de las respuestas del servidor.
Con acceso a un Número de identificación de solicitud, cualquier persona que haya iniciado sesión en el sistema e-District puede acceder a una copia de una escritura de propiedad. Dos registros de títulos de propiedad vistos por TechCrunch contienen los nombres de las personas involucradas en la escritura, sus fotografías y el juego completo de huellas dactilares de ambas manos. No es raro que en un solo documento aparezcan varias personas.
Los certificados también contienen los documentos de identificación emitidos por el gobierno de las personas, incluidos sus números confidenciales de Aadhaar, que se asignan a cada ciudadano como parte de la base de datos biométrica y de identidad nacional de la India. Los números de Aadhaar son necesarios para acceder a la banca, a los planes de telefonía móvil y a muchos servicios gubernamentales.
Majumder informó sobre la vulnerabilidad del sitio web al equipo de respuesta a emergencias informáticas de la India, CERT-In, y al gobierno de Bengala Occidental, por temor a que la vulnerabilidad pudiera explotarse para cometer fraude de identidad. El error se corrigió poco después.
Se desconoce si alguien además de Majumder descubrió el error. Representantes del gobierno de Bengala Occidental y CERT-In no respondieron a las solicitudes de comentarios. El sitio web e-District del gobierno de Bengala Occidental dice que ha procesado más de 17 millones de solicitudes hasta ahora, aunque no se sabe cuántas solicitudes son para certificados de tierras.
Los medios locales informan sobre un reciente aumento de los casos de fraude relacionados con el presunto robo de información biométrica, que los delincuentes supuestamente utilizan para vaciar cuentas bancarias.
[ad_2]