El gobierno indio finalmente resolvió un problema de ciberseguridad de años de duración que expuso una gran cantidad de datos confidenciales sobre sus ciudadanos. Un investigador de seguridad le dijo en exclusiva a TechCrunch que encontró al menos cientos de documentos que contienen información personal de los ciudadanos, incluidos números de Aadhaar, datos de vacunación COVID-19 y detalles del pasaporte, difundidos en línea para que cualquiera pueda acceder.
La culpa fue del servicio en la nube del gobierno indio, denominado S3WaaS, que se anuncia como un sistema “seguro y escalable” para construir y alojar sitios web del gobierno indio.
El investigador de seguridad Sourajeet Majumder dijo a TechCrunch que encontró una configuración incorrecta en 2022 que exponía la información personal de los ciudadanos almacenada en S3WaaS a la Internet abierta. Debido a que los documentos privados se hicieron públicos sin darse cuenta, los motores de búsqueda también los indexaron, lo que permitió a cualquiera buscar activamente en Internet datos confidenciales de ciudadanos privados.
Con el apoyo de la organización de derechos digitales Internet Freedom Foundation, Majumder informó del incidente en ese momento al equipo de respuesta a emergencias informáticas de la India, conocido como CERT-In, y al Centro Nacional de Informática del gobierno indio.
CERT-In reconoció rápidamente el problema y se eliminaron los enlaces que contenían archivos confidenciales de motores de búsqueda públicos.
Pero Majumder dijo que a pesar de las repetidas advertencias sobre la fuga de datos, el servicio en la nube del gobierno indio todavía estaba exponiendo la información personal de algunas personas la semana pasada.
Con evidencia de exposiciones continuas de datos privados, Majumder pidió ayuda a TechCrunch para proteger los datos restantes. Majumder dijo que los datos confidenciales de algunos ciudadanos comenzaron a difundirse en línea mucho después de que él revelara por primera vez la configuración incorrecta en 2022.
TechCrunch informó algunos de los datos expuestos a CERT-In. Majumder confirmó que esos archivos ya no son de acceso público.
Cuando se contactó antes de la publicación, CERT-In no se opuso a que TechCrunch publicara detalles de la falla de seguridad. Los representantes del Centro Nacional de Informática y S3WaaS no respondieron a una solicitud de comentarios.
Majumder dijo que no era posible estimar con precisión el verdadero alcance de esta filtración de datos, pero advirtió que los malos actores supuestamente estaban vendiendo los datos en un conocido foro de cibercrimen antes de que las autoridades estadounidenses lo cerraran. CERT-In no dijo si los malos actores accedieron a los datos expuestos.
Los datos expuestos, dijo Majumder, potencialmente ponen a los ciudadanos en riesgo de sufrir robos de identidad y estafas.
“Más que eso, cuando se divulga información de salud sensible, como los resultados de las pruebas de COVID y los registros de vacunas, no es sólo nuestra privacidad médica la que se ve comprometida, sino que despierta temores de discriminación y rechazo social”, dijo.
Majumder señaló que este incidente debería ser una “llamada de atención para las reformas de seguridad”.