Obvinenia z úniku údajov v Nigérii odhaľujú riziká centralizovaných systémov digitálnej identifikácie

Objavili sa obvinenia, že zasvätené osoby v Národnej komisii pre správu identít (NIMC) predávajú osobné údaje občanov na voľnom trhu.

Uniknutý materiál údajne obsahuje národné identifikačné čísla (NIN), čísla bankového overovania (BVN) a dokonca aj fotografie, údaje, ktoré môžu odomknúť vládne služby aj bankové účty. Jeden investigatívny novinár tvrdí, že sa mu podarilo kúpiť NIN a BVN niekoľkých Nigérijčanov vrátane troch novinárov pomocou ničoho iného ako telefónneho čísla.

Národná komisia pre ochranu údajov (NDPC) začala vyšetrovanie a varovala, že NIMC alebo akýmkoľvek zodpovedným agentom by mohli hroziť pokuty až do výšky 10 miliónov N alebo 2 percentá ich ročného príjmu. Toto nasleduje po skorších opatreniach v oblasti presadzovania práva, v dôsledku ktorých bolo viac ako 100 registračných partnerov ukončených z dôvodu vydierania a iného pochybenia.

Dôkazy o obchode sa objavili, keď kupujúci preukázal, že online je možné získať štyri kompletné sady osobných záznamov, čo poukazuje na narušenie národnej databázy identity zvnútra.

Rozsah odhalenia je alarmujúci, keďže v systéme je už zaregistrovaných viac ako 122 miliónov Nigérijčanov a krajina nedávno prešla na platformu digitálneho overovania NINAuth, ktorá centralizuje kontroly identity v celej krajine.

Nigérijský program identity má za cieľ zabezpečiť bezpečné overovanie verejných služieb a finančných transakcií, ale jeho zraniteľnosti boli odhalené. Od roku 2011 vláda do systému investovala značné finančné prostriedky, počnúc alokáciou 30,66 miliardy N na elektronické identifikačné preukazy a neskôr v roku 2019 získala grant podporovaný Svetovou bankou vo výške 433 miliónov dolárov na registráciu 148 miliónov občanov do polovice roku 2024.

Obavy verejnosti o ochranu údajov sa zintenzívnili v apríli 2024, keď FIJ odhalila XpressVerify, podvodnú webovú stránku, ktorá predávala prístup k osobným údajom za pouhých 200 N za vyhľadávanie.

Centralizované systémy digitálnej identifikácie vytvárajú jediný bod dôveryhodnosti typu „všetko alebo nič“. Po narušení tohto bodu sa následky rozšíria ďaleko za hranice pôvodného úniku, pretože tie isté identifikátory slúžia na overovanie viacerých systémov, finančných, vládnych a dokonca aj biometrických údajov.

Táto konštrukcia znamená, že jeden ohrozený prístupový kanál môže nenápadne otvoriť dvere v celej spoločnosti. Na rozdiel od čísla kreditnej karty, ktoré je možné nahradiť, sú identifikátory ako NIN alebo biometrická šablóna trvalé a po odcudzení uzamknú občanov do celoživotného odhalenia.