印度政府终于解决了一个持续数年的网络安全问题,该问题暴露了大量有关其公民的敏感数据。一位安全研究人员独家告诉TechCrunch,他发现至少有数百份包含公民个人信息的文件——包括身份证号码、COVID-19疫苗接种数据和护照详细信息——泄露到网上,任何人都可以访问。
问题出在印度政府的云服务S3WaaS上,该服务被标榜为一个“安全且可扩展”的系统,用于建立和托管印度政府网站。
安全研究员Sourajeet Majumder告诉TechCrunch,他在2022年发现了一个错误配置,将存储在S3WaaS上的公民个人信息暴露在开放的互联网上。由于这些私人文件在无意中被公开,搜索引擎也对这些文件进行了索引,从而允许任何人在互联网上主动搜索敏感的公民私人数据。
在数字权利组织互联网自由基金会(Internet Freedom Foundation)的支持下,Majumder当时向印度计算机应急响应小组(CERT-In)和印度政府的国家信息中心(National Informatics Centre)报告了这一事件。
CERT-In很快就承认了这个问题,并且从公共搜索引擎中删除了包含敏感文件的链接。
但Majumder说,尽管一再警告数据泄露,印度政府的云服务仍然暴露了一些个人信息,就在上周。
有证据表明,私人数据正在不断暴露,Majumder要求TechCrunch帮助保护剩余的数据。马祖德表示,在他于2022年首次披露这一错误配置很久之后,一些公民的敏感数据就开始在网上泄露。
TechCrunch向CERT-In报告了一些暴露的数据。马宗德证实,这些文件已不再公开。
在文章发表之前,CERT-In并没有反对TechCrunch发布安全漏洞的细节。国家信息中心和S3WaaS的代表没有回应置评请求。
Majumder说,不可能准确估计这次数据泄露的真实程度,但他警告说,据称,在美国当局关闭一个已知的网络犯罪论坛之前,不法分子就在这个论坛上出售了这些数据。CERT-In不愿透露是否有不法分子访问了暴露的数据。
马祖德说,暴露的数据可能会使公民面临身份盗用和诈骗的风险。
他说:“更重要的是,当COVID检测结果和疫苗记录等敏感健康信息泄露出去时,不仅我们的医疗隐私受到损害,还会引发对歧视和社会排斥的恐惧。”
马祖德指出,这一事件应该是“安全改革的警钟”。
来源:[author_name]
