印度政府终于解决了长达数年之久的网络安全问题,该问题暴露了印度公民的大量敏感数据。一位安全研究人员透露,他发现至少有数百份包含公民个人信息的文件在网上泄露,任何人都可以访问,其中包括 Aadhaar 号码、COVID-19 疫苗接种数据和护照详细信息。
印度政府的云服务被称为 S3WaaS,是一个"安全、可扩展"的系统,用于构建和托管印度政府网站。
安全研究员 Sourajeet Majumder 在 2022 年发现了一个错误配置,将存储在 S3WaaS 上的公民个人信息暴露在开放的互联网上。由于这些私人文件无意中被公开,搜索引擎也索引了这些文件,使得任何人都可以在互联网上主动搜索敏感的公民私人数据。
在数字权利组织"互联网自由基金会"(Internet Freedom Foundation)的支持下,Majumder 当时向印度计算机应急小组(CERT-In)和印度政府国家信息中心报告了这一事件。
CERT-In 很快承认了这一问题,并撤下了公共搜索引擎中包含敏感文件的链接。
但 Majumder 说,尽管印度政府一再警告数据外泄问题,但印度政府的云服务在上周仍暴露了一些个人的个人信息。
有证据表明私人数据不断被曝光,Majumder 说在他于 2022 年首次披露错误配置后很长时间,一些公民的敏感数据就开始在网上泄露,目前已证实这些文件已不再可公开访问。
目前还无法准确估计这次数据泄露的真实程度,但在一个已知的网络犯罪论坛被美国当局关闭之前,不良分子据称正在该论坛上出售这些数据。CERT-In 不愿透露不怀好意者是否访问了被暴露的数据,这些内容可能会使公民面临身份盗窃和诈骗的风险。
Majumder说:"不仅如此,当 COVID-19检测结果和疫苗接种记录等敏感的健康信息泄露出去时,受到损害的不仅仅是我们的医疗隐私,还会激起人们对歧视和社会排斥的恐惧。这一事件应敲响安全改革的警钟。"