Индийское правительство годами выводило личные данные граждан и публиковало их в интернете
Правительство Индии наконец-то решило многолетнюю проблему с кибербезопасностью, которая привела к утечке конфиденциальных данных о гражданах страны. Исследователь безопасности сообщил TechCrunch, что обнаружил сотни документов, содержащих личную информацию граждан, включая номера Aadhaar, данные о прививках COVID-19 и паспортные данные, которые попали в сеть и стали доступны всем желающим.
Виной тому оказался облачный сервис индийского правительства под названием S3WaaS, который называют безопасной и масштабируемой системой для создания и размещения индийских правительственных сайтов.
Исследователь безопасности Сураджит Маджумдер рассказал, что в 2022 году он обнаружил неправильную конфигурацию, из-за которой личные данные граждан, хранящиеся на S3WaaS, попадали в открытый интернет. Поскольку частные документы были непреднамеренно обнародованы, поисковые системы также проиндексировали их, что позволило любому человеку найти в интернете конфиденциальные данные частных лиц.
При поддержке организации по защите цифровых прав Internet Freedom Foundation Маджумдер сообщил об инциденте в индийскую группу реагирования на компьютерные чрезвычайные ситуации, известную как CERT-In, и в Национальный центр информатики при правительстве Индии. CERT-In быстро признала проблему, и ссылки с конфиденциальными файлами из публичных поисковых систем были удалены.
Однако Маджумдер заявил, что, несмотря на неоднократные предупреждения об утечке данных, облачная служба правительства Индии все еще продолжает раскрывать личную информацию некоторых людей. Маджумдер обратился к TechCrunch за помощью в обеспечении безопасности оставшихся данных. По его словам, конфиденциальные данные некоторых граждан начали попадать в сеть уже после того, как он впервые раскрыл информацию о неправильной конфигурации в 2022 году.
TechCrunch сообщил о некоторых открытых данных в CERT-In. Маджумдер подтвердил, что эти файлы больше не находятся в открытом доступе. Когда TechCrunch связались с CERT-In перед публикацией, он не возражал против публикации подробностей об ошибке в системе безопасности. Представители Национального центра информатики и S3WaaS не ответили на просьбу о комментарии.
Маджумдер сказал, что невозможно точно оценить истинные масштабы утечки данных, но предупредил, что злоумышленники продавали данные на известном киберпреступном форуме, прежде чем он был закрыт американскими властями. В CERT-In не сообщили, получили ли злоумышленники доступ к обнародованным данным. По словам Маджумдера, открытые данные потенциально подвергают граждан риску кражи личных данных и мошенничества.
«Более того, когда конфиденциальная информация о здоровье, например результаты тестов COVID и записи о вакцинах, попадает в открытый доступ, это не только ставит под угрозу нашу медицинскую конфиденциальность — это вызывает страх дискриминации и социального отторжения», — сказал Маджумдер. Также он отметил, что этот инцидент должен стать тревожным звонком для реформ в области безопасности.
Ранее технологический гигант подтвердил факт кибератаки и предупредил, что хакеры могли похитить личные данные и информацию о клиентах. Fujitsu заявила, что отключила пострадавшие системы от своей сети и расследует, как ее сеть была скомпрометирована вредоносным ПО и «имела ли место утечка информации».
