O governo indiano finalmente resolveu um problema de segurança cibernética que já durava há anos e que expôs uma grande quantidade de dados sensíveis sobre os seus cidadãos. Um pesquisador de segurança disse exclusivamente ao TechCrunch que encontrou pelo menos centenas de documentos contendo informações pessoais de cidadãos – incluindo números Aadhaar, dados de vacinação COVID-19 e detalhes de passaportes – espalhados online para qualquer pessoa acessar.

A culpa foi do serviço de nuvem do governo indiano, apelidado de S3WaaS, que é anunciado como um sistema “seguro e escalável” para construir e hospedar sites do governo indiano.

O pesquisador de segurança Sourajeet Majumder disse ao TechCrunch que encontrou uma configuração incorreta em 2022 que expunha as informações pessoais dos cidadãos armazenadas no S3WaaS à Internet aberta. Como os documentos privados foram inadvertidamente tornados públicos, os motores de busca também indexaram os documentos, permitindo a qualquer pessoa pesquisar activamente na Internet os dados confidenciais dos cidadãos.

Com o apoio da organização de direitos digitais Internet Freedom Foundation, Majumder relatou o incidente na época à equipe de resposta a emergências informáticas da Índia, conhecida como CERT-In, e ao Centro Nacional de Informática do governo indiano.

O CERT-In reconheceu rapidamente o problema e links contendo arquivos confidenciais de mecanismos de busca públicos foram retirados.

Mas Majumder disse que, apesar dos repetidos avisos sobre o vazamento de dados, o serviço de nuvem do governo indiano ainda expunha informações pessoais de alguns indivíduos até a semana passada.

Com evidências de exposições contínuas de dados privados, Majumder pediu ajuda ao TechCrunch para proteger os dados restantes. Majumder disse que os dados confidenciais de alguns cidadãos começaram a ser divulgados online muito depois de ele ter divulgado pela primeira vez a configuração incorreta em 2022.

O TechCrunch relatou alguns dos dados expostos ao CERT-In. Majumder confirmou que esses arquivos não estão mais acessíveis ao público.

Quando contatado antes da publicação, o CERT-In não se opôs à publicação do TechCrunch de detalhes da falha de segurança. Representantes do Centro Nacional de Informática e S3WaaS não responderam a um pedido de comentários.

Majumder disse que não era possível estimar com precisão a verdadeira extensão deste vazamento de dados, mas alertou que os malfeitores estavam supostamente vendendo os dados em um conhecido fórum de crimes cibernéticos antes de ser fechado pelas autoridades dos EUA. O CERT-In não disse se malfeitores acessaram os dados expostos.

Os dados expostos, disse Majumder, colocam potencialmente os cidadãos em risco de roubos de identidade e fraudes.

“Mais do que isso, quando informações confidenciais de saúde, como resultados de testes COVID e registros de vacinas, são divulgadas, não é apenas a nossa privacidade médica que fica comprometida – isso desperta medos de discriminação e rejeição social”, disse ele.

Majumder observou que este incidente deveria ser um “alerta para reformas de segurança”.

Fuente