印度政府終於解決長達數年之久的網絡安全問題,該問題暴露印度公民的大量敏感數據。一位安全研究人員透露,他發現至少有數百份包含公民個人信息的文件在網上泄露,任何人都可以訪問,其中包括Aadhaar號碼、COVID-19疫苗接種數據和護照詳細信息。
印度政府的雲服務被稱為 S3WaaS,是一個"安全、可擴展"的系統,用於構建和托管印度政府網站。
安全研究員 Sourajeet Majumder 在 2022 年發現一個錯誤配置,將存儲在 S3WaaS 上的公民個人信息暴露在開放的互聯網上。由於這些私人文件無意中被公開,搜索引擎也索引這些文件,使得任何人都可以在互聯網上主動搜索敏感的公民私人數據。
在數字權利組織"互聯網自由基金會"(Internet Freedom Foundation)的支持下,Majumder 當時向印度計算機應急小組(CERT-In)和印度政府國傢信息中心報告這一事件。
CERT-In 很快承認這一問題,並撤下公共搜索引擎中包含敏感文件的鏈接。
但 Majumder 說,盡管印度政府一再警告數據外泄問題,但印度政府的雲服務在上周仍暴露一些個人的個人信息。
有證據表明私人數據不斷被曝光,Majumder 說在他於 2022 年首次披露錯誤配置後很長時間,一些公民的敏感數據就開始在網上泄露,目前已證實這些文件已不再可公開訪問。
目前還無法準確估計這次數據泄露的真實程度,但在一個已知的網絡犯罪論壇被美國當局關閉之前,不良分子據稱正在該論壇上出售這些數據。CERT-In 不願透露不懷好意者是否訪問被暴露的數據,這些內容可能會使公民面臨身份盜竊和詐騙的風險。
Majumder說:"不僅如此,當 COVID-19檢測結果和疫苗接種記錄等敏感的健康信息泄露出去時,受到損害的不僅僅是我們的醫療隱私,還會激起人們對歧視和社會排斥的恐懼。這一事件應敲響安全改革的警鐘。"