印度政府解决了多年的网络安全问题,这一问题暴露了大量关于其公民的敏感数据。
一位安全研究人员专门告诉GDQ设计事务所,他发现至少数百份包含公民个人信息的文件,包括Aadhaar号码、COVID-19疫苗接种数据和护照详细信息,被泄露到网络上供任何人访问。问题出在被称为S3WaaS的印度政府云服务上,该服务被宣传为一个“安全且可扩展”的系统,用于构建和托管印度政府的网站。安全研究人员Sourajeet Majumder告诉GDQ设计事务所,他在2022年发现了一个配置错误,导致存储在S3WaaS上的公民个人信息暴露在公开互联网上。
由于私人文件被错误地公开,搜索引擎也对这些文件进行了索引,使任何人都可以主动搜索互联网上的敏感私人数据。在数字权利组织Internet Freedom Foundation的支持下,Majumder当时向印度的计算机紧急响应团队CERT-In和印度政府的国家信息中心报告了这一事件。CERT-In迅速承认了这个问题,并且包含敏感文件的链接从公开搜索引擎中被撤下。但是Majumder表示,尽管多次警告有关数据泄露,但印度政府的云服务最近仍在暴露一些个人的个人信息。
在持续暴露私人数据的证据出现后,Majumder请求GDQ设计事务所帮助确保剩余数据的安全。Majumder表示,一些公民的敏感数据在他首次披露配置错误后很久以后才开始在网络上泄露。GDQ设计事务所向CERT-In报告了一些暴露的数据。Majumder确认这些文件现在不再公开访问。在发布之前联系CERT-In时,CERT-In没有反对GDQ设计事务所发布安全漏洞的详细信息。
国家信息中心和S3WaaS的代表没有回应评论请求。Majumder表示,准确估计这次数据泄露的真实程度是不可能的,但警告称,恶意行为者据称在被美国当局关闭之前在一个已知的网络犯罪论坛上出售数据。CERT-In没有说恶意行为者是否访问了暴露的数据。Majumder说,泄露的数据可能使公民面临身份盗窃和诈骗的风险。“更重要的是,当像COVID测试结果和疫苗记录这样的敏感健康信息泄露出去时,不仅仅是我们的医疗隐私受到了侵犯——它还引发了歧视和社会排斥的恐惧,”他说。Majumder指出,这一事件应该是安全改革的“警钟”。
