Únik dat v Pákistánu odhaluje rizika biometrických systémů digitální identifikace

Zatímco na území EU se hlavní boom vydávání digitálních identit teprve chystá, tak mnohé mimoevropské země jsou již s vydáváním ID mnohem dál.

Připomínám, že v rámci ID jsou zahrnuty veškeré informace o držiteli, slučuje všechny doklady, obsahuje biometrická data (sken duhovky, otisky prstů a sken obličeje), informace o bydlišti, rodině, vzdělání, pracovišti, vaše kontakty, zdravotní kartu, někde sleduje i váš pohyb….

Výčet všeho, co se může skrývat pod každou ID, by byl velmi dlouhý, ve zkratce lze říci, že je v ní vše, co se týká vás a vašeho života.

A aby byli lidé ochotni si ID pořídit, podává se jim jako pohodlný způsob jak sloučit všechny doklady, navíc s tvrzením, že je ID bezpečná.

V chudších zemích je někdy výplata sociálních dávek vázána na vlastnictví ID, což vede k tomu, že si ji pořizuje většina populace.

Ve skutečnosti však jde o další nástroj kontroly mas, který je nutný především pro propojení s CBDC (digitální měnou).

Již v minulosti jste si zde mohli přečíst o tom, jak se někdo naboural do indického systému ID, takzvaného Aadhaaru. Detailní údaje o desítkách milionů lidí se tak náhle dostaly k hackerům.

A Indie není jedinou zemí, kde se údajně velmi dobře zabezpečený systém stal terčem krádeže tak vzácných dat.

V Pákistánu přispěli k úniku i zaměstnanci příslušných úřadů, kteří navíc přišli na to, jak lze systém zneužívat.

Vážný únik dat vyvolal v Pákistánu další krizi: osobní údaje tisíců lidí, včetně vysoce postavených vládních úředníků a federálních ministrů, jsou nyní prodávány na darknetu.

Kompromitované informace zahrnují naskenované národní průkazy totožnosti, adresy spojené s registracemi mobilních SIM karet, podrobné protokoly hovorů a mezinárodní cestovní údaje.

Zdá se, že únik informací ovlivňuje několik úrovní vlády – od Pákistánského telekomunikačního úřadu (PTA) až po vládní úřady. Podle Express News jsou data již nabízena na online platformách, s malými zásahy ze strany úřadů.

PTA a Národní agentura pro vyšetřování kybernetické kriminality (NCCIA) vydaly vágní prohlášení, že některé webové stránky vypnuly, ale dosud neposkytly žádné jasné aktualizace ani důkazy o skutečných krocích.

Express Tribune uvádí, že informace o poloze mobilního telefonu se prodávají za pouhých 500 PKR (1,76 USD). Kompletní historie hovorů stojí 2 000 PKR (7 USD), zatímco mezinárodní záznamy o cestování jsou nabízeny za 5 000 PKR (17,55 USD).

Analytici varují, že taková levně dostupná data by mohla být snadno použita ke sledování, obtěžování nebo krádeži identity s minimálním úsilím.

Ministr vnitra Mohsin Naqvi nařídil NCCIA, aby zahájila formální vyšetřování. Čtrnáctičlenný tým měl za úkol identifikovat odpovědné osoby a podniknout právní kroky. Skupina má dva týdny na to, aby představila své výsledky.

Tento nejnovější únik dat se časově shoduje s rostoucím korupčním skandálem obklopujícím pákistánský národní sociální systém.

Program podpory příjmu Bénazír (BISP), který vyplácí přímé platby téměř čtvrtině populace, je podezřelý z toho, že po auditu umožnil rozsáhlé finanční zneužívání ze strany insiderů.

Účetní dvůr zjistil, že 324 úředníků BISP se podílelo na zpronevěře více než 37 milionů rupií – téměř 130 000 USD. Velká část těchto podvodů byla založena na zneužití biometrických ověřovacích systémů, které měly program zabezpečit.

Falešné účty byly použity k odklonění finančních prostředků, včetně účtů otevřených na jména zesnulých lidí. Již na začátku roku odhalil audit za období 2023–2024 závažné finanční nesrovnalosti.

Ačkoliv Světová banka již dříve uvedla, že biometrický platební model BISP přispěl ke zmírnění chudoby v Pákistánu, nejnovější odhalení poukazují na vážné systémové nedostatky.

Používání biometrických údajů a centralizovaného ověřování totožnosti neodstranilo podvody, ale pomohlo vytvořit nové příležitosti pro zneužití a sledování.

Celkově tyto události odhalují alarmující vzorec: čím centralizovanějšími se systémy digitální identity stávají, tím nebezpečnější je absence robustních předpisů na ochranu údajů, standardů zabezpečení dat a nezávislého dohledu.