Se ha filtrado en línea información personal de miles de funcionarios encargados de hacer cumplir la ley y de personas que solicitan ser oficiales de policía en la India, incluidas huellas dactilares, imágenes de escaneos faciales, firmas y detalles de tatuajes y cicatrices en sus cuerpos. Si esto no fuera lo suficientemente alarmante, aproximadamente al mismo tiempo, los ciberdelincuentes comenzaron a anunciar la venta de productos similares. biométrico datos policiales de la India en la aplicación de mensajería Telegrama.
El mes pasado, el investigador de seguridad Jeremiah Fowler descubrió los archivos confidenciales en un servidor web expuesto vinculado a ThoughtGreen Technologies, una empresa de subcontratación y desarrollo de TI con oficinas en India, Australia y Estados Unidos. Dentro de un total de casi 500 gigabytes de datos que abarcan 1,6 millones de documentos, fechados desde 2021 hasta que Fowler los descubrió a principios de abril, había una mina de información personal confidencial sobre profesores, trabajadores ferroviarios y agentes del orden. Se incluyeron certificados de nacimiento, diplomas, certificados de educación y solicitudes de empleo.
Fowler, quien compartió sus hallazgos exclusivamente con WIRED, dice que entre la gran cantidad de información, las más preocupantes eran aquellas que parecían ser documentos de verificación vinculados a las fuerzas del orden o al personal militar de la India. Si bien el servidor mal configurado ya ha sido cerrado, el incidente resalta los riesgos de que las empresas recopilen y almacenen datos biométricos, como huellas dactilares e imágenes faciales, y cómo podrían usarse indebidamente si los datos se filtran accidentalmente.
«Puedes cambiar tu nombre, puedes cambiar tu información bancaria, pero no puedes cambiar tus datos biométricos reales», dice Fowler. El investigador, que también publicó los hallazgos en nombre de Website Planetdice que este tipo de datos podrían ser utilizados por ciberdelincuentes o estafadores para atacar a personas en el futuro, un riesgo que aumenta para puestos sensibles de aplicación de la ley.
Dentro de la base de datos que examinó Fowler había varias aplicaciones móviles y archivos de instalación. Uno se titulaba “instalación de software facial” y una carpeta separada contenía 8 GB de datos faciales. Las fotografías de rostros de personas incluían rectángulos generados por computadora que a menudo se usan para medir la distancia entre puntos del rostro en los sistemas de reconocimiento facial.
Había 284.535 documentos etiquetados como Pruebas de eficiencia física relacionados con el personal policial, dice Fowler. Otros archivos incluían formularios de solicitud de empleo para agentes del orden, fotografías de perfil y documentos de identificación con detalles como “lunar en la nariz” y “corte en la barbilla”. Al menos una imagen muestra a una persona sosteniendo un documento con una foto correspondiente incluida en él. «Lo primero que vi fueron miles y miles de huellas dactilares», dice Fowler.
Prateek Waghre, director ejecutivo de la organización india de derechos digitales Internet Freedom Foundation, dice que hay «enormes» Información biométrica recopilación sucediendo en toda la India, pero existen riesgos de seguridad adicionales para las personas involucradas en el cumplimiento de la ley. «Muchas veces, la verificación que utilizan los empleados o funcionarios del gobierno también se basa en sistemas biométricos», dice Waghre. «Si eso está potencialmente comprometido, estás en posición de que alguien pueda hacer un mal uso y luego obtener acceso a información que no debería».
Parece que es posible que ya se comparta en línea cierta información biométrica sobre los funcionarios encargados de hacer cumplir la ley. Fowler dice que después de que se cerró la base de datos expuesta, también descubrió un canal de Telegram, que contenía unos cientos de miembros, que afirmaba vender datos de la policía india, incluso de individuos específicos. «La estructura, las capturas de pantalla y un par de nombres de carpetas coincidían con lo que vi», dice Fowler, quien por razones éticas no compró los datos vendidos por los delincuentes, por lo que no pudo verificar completamente que fueran exactamente los mismos datos.