Lỗ hổng hệ thống định danh cá nhân

12/01/2018 14:12 GMT+7

TTO - Aadhaar là một hệ thống định danh cá nhân bằng sinh trắc học ở Ấn Độ. Sáng kiến công nghệ này được kỳ vọng giúp chính phủ quản lý công dân tốt hơn, nhưng lại tiềm ẩn nguy cơ lộ thông tin cá nhân.

Lỗ hổng hệ thống định danh cá nhân - Ảnh 1.

Đa số công dân Ấn Độ đều có số định danh Aadhaar liên kết với nhiều dịch vụ từ điện thoại tới ngân hàng Ảnh: REUTERS

Không nên đánh giá thấp nguy cơ rò rỉ dữ liệu mà người dùng cung cấp, nhất là khi Aadhaar có khả năng chi phối đến các giao dịch khác. Thực tế đã chứng minh cơ sở dữ liệu khổng lồ mà UIDAI đang quản lý không thực sự bất khả xâm phạm

Pranesh Prakash (giám đốc chính sách của Trung tâm An ninh mạng Ấn Độ)

Chương trình Aadhaar được đưa vào hoạt động từ những năm 2010, liên kết với chính quyền tất cả các bang và nhiều đối tác khác ở Ấn Độ. Cha đẻ của phần mềm - ông Nandan Nilekani - tự hào đây là sáng kiến công nghệ giúp chính phủ tiết kiệm 9 tỉ USD nhờ phân bố tiền cứu trợ đến đúng người, tránh các trường hợp gian lận lãnh thay tiền hoặc một người nhưng lãnh nhiều lần.

Chi phối mọi mặt đời sống

Khi ra đời, chương trình này hứa hẹn kết thúc vòng luẩn quẩn mà trong đó người nghèo không thể chứng minh được họ là ai và do đó không nhận được những khoản hỗ trợ đáng ra được nhận. Theo báo Business Today của Ấn Độ, có hơn 1 tỉ người Ấn Độ đã đăng ký thông tin với Aadhaar, biến nó trở thành một cơ sở dữ liệu khổng lồ và hùng mạnh. Mỗi người, kể cả trẻ em ở Ấn Độ, đa số đều có một "Aadhaar" là số xác nhận gồm 12 chữ số với thông tin về mống mắt và dấu vân tay để xác định danh tính.

Trong thời kỳ ông Narendra Modi làm thủ tướng ở Ấn Độ - từ tháng 5-2014, chính quyền đã ban hành các quy định để hậu thuẫn tối đa cho Aadhaar. Theo Business Today, các công ty điện thoại, ngân hàng, bảo hiểm và các tập đoàn đều dần chuyển sang dùng Aadhaar để xác định thông tin cá nhân.

Aadhaar gần đây đã gần như trở thành một công cụ bắt buộc từ mọi hướng ở Ấn Độ, khi các nhà cung cấp dịch vụ yêu cầu người dùng phải liên kết thông tin Aadhaar của bản thân để sử dụng dịch vụ, ảnh hưởng đến rất nhiều hoạt động trong đời sống: các tài khoản ngân hàng với hơn 50.000 rupee buộc phải liên kết với số Aadhaar, người đóng thuế phải khai số Aadhaar với tài khoản cố định của họ, người dân phải kết nối số Aadhaar với số điện thoại và tài khoản ngân hàng của mình...

Lộ thông tin cá nhân

Việc Aadhaar can thiệp quá sâu vào đời sống của người dân đang làm dấy lên câu hỏi về tính an toàn của hệ thống này. Ngày 3-1, Rachna Khaira, phóng viên báo Tribune, đã đăng bài viết tiết lộ cô đã dễ dàng mua cơ sở dữ liệu của Aadhaar như thế nào chỉ với chưa đầy 8 USD từ một tay bán hàng ẩn danh trên ứng dụng WhatsApp.

Hai ngày sau khi bài báo được xuất bản, UIDAI - Cơ quan Quản lý định danh duy nhất Ấn Độ, nơi triển khai Aadhaar, đã yêu cầu điều tra không chỉ với người bán dữ liệu bất hợp pháp mà cả với nữ phóng viên đã tìm hiểu vụ việc. Động thái của UIDAI đã tạo nên một làn sóng bất bình trong nước. Một cuộc lấy ý kiến với hơn 6.250 người cho thấy cứ 10 người thì có 7 người phản đối hành động chống lại phóng viên của UIDAI.

Usha Ramanathan, nhà nghiên cứu luật độc lập, nói với Quartz: "Tôi nghĩ những người chỉ ra lỗi sẽ được khen thưởng, nhưng UIDAI đã không chịu trách nhiệm về những gì đang xảy ra. Thay vào đó, họ đang sử dụng đạo luật Aadhaar năm 2016 để chống lại người tìm thấy lỗ hổng trong hệ thống và buộc họ im lặng".

Reetika Khera - giáo sư kinh tế thuộc Học viện Công nghệ Ấn Độ tại Delhi, người đã nghiên cứu tác động của Aadhaar lên các chương trình phúc lợi - cho biết đây ít nhất là lần thứ tư UIDAI kiện những người cảnh báo họ về vấn đề bảo mật.

Cụ thể, tháng 3-2017, UIDAI khiếu nại chống lại Sameer Kochhar, người đứng đầu quỹ phát triển Skoch, vì đã chia sẻ một video chứng minh có thể thực hiện được các giao dịch trái phép bằng cách phát lại các dữ liệu sinh trắc. Điều này đã xảy ra trên thực tế và là lý do buộc chính quyền ngừng các giao dịch dựa trên Aadhaar của Ngân hàng Axis và với các nền tảng xác minh như Suvidha và eMudhra.

Cùng thời điểm, UIDAI cũng phát đơn kiện chống lại 18 phóng viên đài CNN vì đã phơi bày lỗ hổng an ninh của Aadhaar: có thể có được hai số đăng ký Aadhaar khác nhau với cùng một bộ sinh trắc học.

Vào tháng 5-2017, khi trung tâm an ninh mạng tiết lộ 130 triệu thông tin tài khoản Aadhaar đã bị lộ, UIDAI đã đối chất với cơ quan này và yêu cầu chứng minh tuyên bố của họ như tiết lộ các thông tin bị rò rỉ được lưu ở đâu và trung tâm an ninh mạng đã tải về được bao nhiêu thông tin từ cơ sở dữ liệu này... Sau khi bị kiện, các nhà nghiên cứu của trung tâm an ninh mạng đã giảm và dừng hẳn các thông tin về Aadhaar.

Hủy quyền truy cập

Để ngăn chặn các vi phạm trong tương lai, ngày 9-1, UIDAI đã hủy quyền truy cập Aadhaar của khoảng 5.000 người, bao gồm nhân viên chính phủ và các nhà khai thác tư nhân.

HỒNG VÂN