دولت هند بالاخره یک مشکل چند ساله امنیت سایبری را حل و فصل کرد که مجموعه‌ای از داده‌های حساس در مورد شهروندانش را فاش کرد. یک محقق امنیتی به طور انحصاری به TechCrunch بيان کرد که او حداقل صدها سند حاوی اطلاعات شخصی شهروندان - از جمله شماره Aadhaar، داده‌های واکسیناسیون COVID-19 و جزئیات گذرنامه - را پیدا کرده است که به‌صورت آنلاین برای هر کسی منتشر شده است.

مقصر سرویس ابری دولت هند به نام S3WaaS بود که به عنوان یک سیستم "ایمن و مقیاس پذیر" برای ساخت و میزبانی وب سایت های دولتی هند معرفی می شود.

سورجیت ماجومدر، محقق امنیتی، به TechCrunch بيان کرد که در سال 2022 پیکربندی نادرستی پیدا کرد که اطلاعات شخصی شهروندان ذخیره شده در S3WaaS را در معرض اینترنت باز قرار می داد. از آنجایی که اسناد خصوصی به طور ناخواسته عمومی شدند، موتورهای جستجو نیز اسناد را فهرست‌بندی کردند و به هر کسی اجازه می‌داد تا اطلاعات حساس شهروندان خصوصی را به طور فعال در اینترنت جستجو کند.

ماجومدر با حمایت سازمان حقوق دیجیتال بنیاد آزادی اینترنت، این حادثه را در آن زمان به تیم واکنش اضطراری کامپیوتری هند، معروف به CERT-In، و مرکز ملی انفورماتیک دولت هند گزارش داد.

CERT-In به سرعت این مشکل را تأیید کرد و پیوندهای حاوی فایل های حساس از موتورهای جستجوی عمومی حذف شدند.

اما ماجومدر بيان کرد که علیرغم هشدارهای مکرر در مورد نشت داده ها، سرویس ابری دولت هند هنوز در هفته گذشته اطلاعات شخصی برخی از افراد را افشا می کند.

با شواهدی مبنی بر قرار گرفتن در معرض مداوم داده های خصوصی، Majumder از TechCrunch برای ایمن سازی باقی مانده داده ها کمک خو است. ماجومدر بيان کرد که برخی از داده های حساس شهروندان مدت ها پس از افشای پیکربندی نادرست در سال 2022 به صورت آنلاین شروع به انتشار کردند.

TechCrunch برخی از داده های افشا شده را به CERT-In گزارش داد. Majumder تأیید کرد که آن فایل‌ها دیگر در دسترس عموم نیستند.

هنگامی که قبل از انتشار به دست آمد، CERT-In با انتشار جزئیات نقص امنیتی TechCrunch مخالفتی ن کرد. نمایندگان مرکز ملی انفورماتیک و S3WaaS به درخواست اظهار نظر پاسخ ندادند.

ماجومدر بيان کرد که تخمین دقیق میزان واقعی این نشت داده ها ممکن نیست، اما هشدار داد که ظاهراً بازیگران بد این داده ها را قبل از بسته شدن توسط مقامات آمریکایی در یک انجمن شناخته شده جرایم سایبری می فروختند. CERT-In نمی گوید که آیا بازیگران بد به داده های افشا شده دسترسی داشته اند یا خیر.

ماجومدر بيان کرد داده های افشا شده به طور بالقوه شهروندان را در معرض خطر سرقت هویت و کلاهبرداری قرار می دهد.

او گفت: «بیش از آن، وقتی اطلاعات حساس بهداشتی مانند نتایج آزمایش کووید و سوابق واکسن منتشر می‌شود، فقط حریم خصوصی پزشکی ما به خطر نمی‌افتد، بلکه ترس از تبعیض و طرد اجتماعی را برمی‌انگیزد.»

مجومدر بيان کرد که این حادثه باید "یک زنگ خطر برای اصلاحات امنیتی" باشد.

خبرکاو