อินเดีย เป็นประเทศที่มีจำนวนประชากรมากเป็นอันดับ 2 ของโลก เป็นรองก็เพียงแต่จีนเท่านั้น ด้วยจำนวนประชากรราว 1.32 พันล้านคน (ข้อมูลจากปี 2016) มากกว่า 2 เท่าของจำนวนประชากรในทุกประเทศเขตเอเชียตะวันออกเฉียงใต้รวมกันด้วยซ้ำ นั่นทำให้ฐานข้อมูลเกี่ยวกับประชากรของประเทศนี้คือข้อมูลขนาดมหึมา การรวบรวมและดูแลจึงเป็นเรื่องไม่ง่ายเลย ซึ่งล่าสุดรัฐบาลอินเดียก็พลาดเรื่องนี้จนได้

เพื่อจัดการกับข้อมูลประชากรมหาศาล รัฐบาลอินเดียได้จัดตั้ง Aadhaar ฐานข้อมูลกลางแห่งชาติที่รวบรวมข้อมูลประจำตัวบุคคลซึ่งรวมถึงข้อมูลอัตลักษณ์ทางชีวภาพอย่างลายนิ้วมือ และภาพสแกนม่านตา โดยมีประชากรอินเดียราว 1.1 พันล้านคนลงทะเบียนข้อมูลแสดงตัวตนในฐานข้อมูล Aadhaar นี้

ขั้นตอนการเก็บข้อมูลของผู้ลงทะเบียนใน Aadhaar ซึ่งรวมถึงการเก็บลายนิ้วมือ และสแกนม่านตา

ผู้ที่ลงทะเบียนใน Aadhaar สามารถใช้ข้อมูลประจำตัวในนั้นไปดำเนินธุรกรรมต่างๆ ได้ ไม่ว่าจะเป็นการเปิดบัญชีธนาคาร, การซื้อและจดทะเบียนซิมโทรศัพท์, การชำระค่าสาธารณูปโภค รวมทั้งลงทะเบียนเพื่อรับสวัสดิการและความช่วยเหลือทางการเงินต่างๆ จากภาครัฐ และฐานข้อมูลชุดเดียวกันนี้ยังถูกใช้โดยบริษัทใหญ่อย่าง Amazon และ Uber เพื่อระบุตัวตนลูกค้าด้วย

ด้วยเหตุที่กล่าวมา แม้การลงทะเบียนข้อมูลใน Aadhaar จะไม่ใช่กฎบังคับสำหรับประชาชนชาวอินเดียทุกคน แต่ใครที่ปฏิเสธการลงทะเบียนก็ย่อมเสียโอกาสและขาดสิทธิ์ต่างๆ ในการดำรงชีวิตไปไม่น้อย

ปัญหาคือ เมื่อข้อมูลที่สำคัญขนาดนี้รั่วไหล ผลกระทบจึงใหญ่โตมหาศาล

Karan Saini นักวิจัยด้านความปลอดภัยจาก New Delhi ให้ข้อมูลแก่ ZDNet ว่าฐานข้อมูล Aadhaar ซึ่งดูแลโดยบริษัทเอกชนชื่อ Indane ภายใต้การกำกับดูแลจากรัฐบาล มีช่องโหว่ให้ผู้ไม่หวังดีสามารถดาวน์โหลดข้อมูลส่วนบุคคลของผู้ลงทะเบียนในระบบทุกคนได้หมด ทั้งชื่อ, เลขประจำตัวประชาชน รวมถึงข้อมูลอื่นที่เชื่อมโยงกับฐานข้อมูลของ Aadhaar เช่นเลขบัญชีธนาคาร บริการชำระเงินสาธารณูปโภค (แน่นอนว่าที่อยู่สำหรับการแจ้งหนี้เหล่านี้ย่อมเชื่อมโยงกัน)

การเข้าถึงข้อมูลดังกล่าว ทำโดยการเข้าทาง endpoint ของ API ที่ Indane ใช้ในการตรวจสอบตัวตนของผู้ลงทะเบียนในฐานข้อมูล ซึ่ง endpoint เจ้าปัญหานี้เป็น url หนึ่งในเว็บของ Indane เองที่ปราศจากการป้องกันการเข้าถึงโดยบุคคลภายนอก ตัว endpoint นี้เปิดให้เข้าถึงฐานข้อมูลได้โดยรหัสผ่านแบบฝังไว้ในโค้ด (hardcoded access token) ซึ่งถอดรหัสกลายเป็นข้อความว่า "INDAADHAARSECURESTATUS," ตรงตัวชัดเจน และเมื่อใครที่เข้าถึง endpoint นี้ได้แล้ว การจะค้นหาข้อมูลชาวอินเดียคนไหนจากฐานข้อมูล Aadhaar ก็ทำได้หมดโดยไม่มีการตรวจสอบซ้ำเพื่อยืนยันตัวตนผู้ทำการค้นหาอีกเลย

แม้ว่าการจะค้นหาข้อมูลจาก Aadhaar นั้นจำเป็นต้องระบุหมายเลขประจำตัวของชุดข้อมูลให้ถูกต้องจึงจะได้ผลการค้นหาที่มีข้อมูลจริง แต่ Saini บอกว่าเรื่องนี้ไม่ใช่อุปสรรคเลย เพราะเมื่อเข้าถึงฐานข้อมูลผ่านทาง endpoint ได้แล้วการค้นหาข้อมูลนี้ก็ทำได้เรื่อยๆ เพราะระบบไม่จำกัดจำนวนครั้งในการค้นหาข้อมูล ตราบเท่าที่คนคนนั้นยังทำไหวการจะหาข้อมูลโดยสุ่มเลขประจำตัวนับล้านล้านครั้งก็ย่อมทำได้ เขาบอกว่าด้วยคอมพิวเตอร์แค่เครื่องเดียว เขาสามารถทำการค้นหาได้หลายพันครั้งต่อนาที

Saini ยังกล่าวอ้างว่าด้วยความยินยอมจากเพื่อนของเขา เขาได้ทดลองค้นหาข้อมูลของเพื่อนคนนั้นจาก Aadhaar ซึ่งก็พบทั้งชื่อ, นามสกุล, เลขประจำตัวลูกค้า (หมายเลขที่ Indane ใช้เพื่อระบุตัวตนของบุคคลที่ลงทะเบียนใน Aadhaar) รวมทั้งข้อมูลบัญชีธนาคารของเพื่อนคนดังกล่าว โดยเขาได้แสดงภาพหน้าจอส่วนหนึ่งที่เขาพบจากค้นหาข้อมูลต่อ ZDNet ด้วย

ภาพตัวอย่างผลการค้นหาที่ Saini ใช้ข้อมูลของเพื่อนเพื่อทำการทดสอบ

ZDNet ระบุว่าหลังรับทราบข้อมูลเรื่องนี้ ก็ได้พยายามส่งอีเมลติดต่อหน่วยงานรัฐของอินเดียผู้รับผิดชอบเรื่องนี้ แต่เป็นระยะเวลานานกว่า 1 เดือน ก็ไม่มีการตอบสนองใดๆ ต่ออีเมลหลายฉบับที่ถูกส่งไป

ทีมงาน ZDNet ตัดสินใจติดต่อไปยังสถานกงสุลอินเดียประจำ New York และติดต่อ Devi Prasad Misra เจ้าหน้าที่กงสุลด้านการค้าและศุลกากรของอินเดีย เพื่อแจ้งเรื่องนี้ การติดต่อและซักถามนานร่วม 3 สัปดาห์ผ่านไปในขณะที่ช่องโหว่ของฐานข้อมูลยังคงเปิดอ้าแบบออนไลน์โดยไม่มีใครแก้ปัญหา จนท้ายที่สุด ZDNet ได้แจ้งว่าจะเผยแพร่บทความเรื่องนี้บนอินเทอร์เน็ต เสียงตอบรับก็ยังเงียบ กระทั่ง ZDNet โพสต์บทความลงบนเว็บในที่สุด ช่องโหว่ดังกล่าวจึงถูกดึงออกจากระบบออนไลน์ในไม่กี่ชั่วโมงถัดมา

ทางด้าน UIDAI (Unique Identification Authority of India) หน่วยงานรัฐผู้รับผิดชอบเรื่องข้อมูลอัตลักษณ์บุคคลของรัฐบาลอินเดีย ได้ออกมาปฏิเสธเรื่องนี้อย่างแข็งขัน โดยโพสต์ข้อความแถลงว่าฐานข้อมูล Aadhaar ไม่เคยรั่วไหล และยังยืนยันว่า Aadhaar ไม่ได้จัดเก็บข้อมูลเรื่องบัญชีธนาคารของผู้ลงทะเบียน

ยังดีที่ (เท่าที่ผู้เขียนรู้) เหตุการณ์แบบนี้ "ยัง" ไม่เกิดขึ้นกับบ้านเรา

ที่มา - ZDNet