Хмарний сервіс індійського уряду роками поширював особисті дані громадян

Уряд Індії розв'язав багаторічну проблему з кібербезпекою, через яку великі обсяги чутливих даних про громадян потрапляли у відкритий доступ, пише TechCrunch.

Дослідник кібербезпеки Соураджит Маджумдер у розмові з виданням повідомив, що щонайменше кілька сотень документів, які містять особисту інформацію громадян (зокрема, ідентифікаційні номери, паспортні дані й дані про вакцинацію від COVID-19), були злиті в мережу.

Проблема полягала в хмарному сервісі індійського уряду – S3WaaS, заявленому як “безпечна і масштабована” система розбудови й хостингу урядових вебсайтів.

За словами Маджумдера, 2022 року той виявив хибну конфігурацію, через яку особиста інформація громадян, що зберігається на S3WaaS, була доступною для всього інтернету. Оскільки приватні документи випадково потрапили у відкритий доступ, їх також індексували пошуковики, завдяки чому будь-хто міг цілеспрямовано знайти чутливі особисті дані громадян онлайн.

Маджумдер за підтримки правозахисної організації Internet Freedom Foundation повідомив про цей випадок Команді реагування на комп'ютерні надзвичайні події Індії (CERT-In) і урядовому Національному інформатичному центру Індії.

CERT-In швидко визнала проблему й посилання на чутливі файли було вилучено з публічних пошукових сервісів.

Утім, за словами Маджумдера, попри неодноразові застереження хмарний сервіс індійського уряду й далі зливав інформацію про деяких громадян аж до минулого тижня.

Отримавши докази поточних витоків приватної інформації, Маджумдер звернувся до TechCrunch по допомогу в захисті решти даних. Дослідник стверджує, що чутливі дані деяких громадян потрапили в мережу задовго після того, як він уперше виявив хибну конфігурацію сервісу у 2022 році.

TechCrunch повідомила про деякі злиті дані CERT-In. Маджумдер підтвердив, що ці дані вже не в публічному доступі.

Перед публікацією матеріалу видання звернулося до CERT-In по дозвіл оприлюднити подробиці щодо цієї безпекової проблеми; команда не заперечувала. Представники Національного інформатичного центру й S3WaaS не відреагували на прохання прокоментувати ситуацію.

Маджумдер зазначає, що точно оцінити масштаб витоку даних неможливо, але попередив, що зловмисники могли продавати ці дані на відомому форумі кіберзлочинців до того, як цей форум закрила американська влада. CERT-In не змогла сказати, чи зловмисники мали доступ до злитої інформації.

За словами Маджумдера, цей витік інформації може зробити громадян уразливими для крадіїв ідентичності й шахраїв.

“Ба більше, коли зливається чутлива медична інформація на кшталт результатів тесту на COVID і записи про щеплення, страждає не лише медична конфіденційність: це розбурхує побоювання щодо дискримінації й соціального неприйняття”, – каже дослідник.

Маджумдер зазначає, що цей випадок має стати “сигналом, що настав час безпекових реформ”.

Марія Ігнатьєва, Валентина Троян