印度選舉委員會已修復其網站上的漏洞,這些漏洞暴露與公民要求獲得有關其投票資格狀況、當地政治候選人和政黨以及電子投票機技術細節等信息相關的數據。印度即將舉行下屆大選,預計在4月至5月間選出議會下院議員,並由他們組建新政府。
印度選舉委員會修復其信息權(RTI)門戶網站的漏洞,該門戶網站允許公民申請獲取憲法機構、邦和中央政府機構以及從印度政府獲得大量資金的私營組織的記錄。
這些漏洞允許訪問 RTI 申請、下載交易收據和官員共享的回復,而無需對用戶登錄進行適當驗證。暴露的部分數據包括 RTI 申請日期、提出的問題、申請人姓名和郵寄地址、申請人的貧困線狀況以及 RTI 答復。
安全研究人員 Karan Saini 於今年 2 月發現這些漏洞,但選舉委員會、印度計算機應急響應小組(CERT-In)和國傢關鍵信息基礎設施保護中心最初都沒有回應他的修復請求,因此他請求 TechCrunch 幫助向有關部門披露這些漏洞。在 CERT-In 的幹預下,這些漏洞已於本周早些時候得到修復。
"CERT-In一直在與相關部門協調此事。最近,CERT-In 已從有關部門獲悉,報告的漏洞已被修復,"印度網絡安全機構周二在回復中說。該機構還向研究人員確認修復工作。
盡管根據印度法律,信息權申請和答復並不保密,但加爾各答高等法院 2014 年的一項判決(PDF)命令獲取信息權申請人個人資料的當局"隱藏此類信息,尤其是在其網站上隱藏此類信息,以免廣大民眾知曉詳情"。
在默認情況下,選舉委員會的 RTI 門戶網站不允許在未登錄的情況下訪問個人的 RTI 申請和回復,這意味著外部對數據的訪問和數據被剪切的能力--因為無需登錄即可訪問--使缺陷成為一個隱私問題。
印度選舉委員會沒有回應置評請求。