Eine indische Landesregierung hat Sicherheitsprobleme auf ihrer Website behoben, durch die vertrauliche Dokumente und persönliche Daten von Millionen Einwohnern offengelegt wurden.
Die Fehler existierten auf der Website der Regierung von Rajasthan im Zusammenhang mit Jan Aadhaar, einem staatlichen Programm zur Bereitstellung einer einzigen Kennung für Familien und Einzelpersonen im Bundesstaat für den Zugang zu Sozialsystemen. Durch die Fehler wurden Kopien von Aadhaar-Karten, Geburts- und Heiratsurkunden, Stromrechnungen und Einkommensnachweisen der Registranten sowie persönliche Informationen wie deren Geburtsdatum, Geschlecht und Name des Vaters offengelegt.
Der Sicherheitsforscher Viktor Markopoulos, der für das Cybersicherheitsunternehmen CloudDefense.ai arbeitet, fand die Fehler im Jan Aadhaar-Portal im Dezember und bat Tech um Hilfe bei der Offenlegung gegenüber den Behörden.
Die Fehler wurden letzte Woche durch eine Intervention des Indian Computer Emergency Response Team (CERT-In) behoben.
Einer der Fehler ermöglichte es jedem, mit Kenntnis der Telefonnummer eines Registranten auf persönliche Dokumente und Informationen zuzugreifen.
Der andere Fehler ermöglichte die Rückgabe sensibler Daten, weil der Server die Gültigkeit von Einmalpasswörtern nicht ordnungsgemäß überprüfte, erklärte der Forscher.
Tech wandte sich am 22. Dezember an die Jan Aadhaar Authority der Regierung von Rajasthan und nahm eine Woche später Kontakt auf, erhielt jedoch keine Antwort. Tech teilte anschließend die Details des Fehlers mit CERT-In, das am Donnerstag bestätigte, dass die Fehler behoben wurden.
„Hiermit möchten wir Sie darüber informieren, dass wir von der zuständigen Behörde eine Antwort erhalten haben, dass die gemeldete Schwachstelle behoben wurde“, sagte die Agentur gegenüber Tech. Der Forscher bestätigte auch die Lösung.
Tech wandte sich vor der Veröffentlichung erneut an die Regierung von Rajasthan und bat um einen Kommentar, aber wir haben keine Antwort erhalten.
Das 2019 gestartete Jan-Aadhaar-Portal des Bundesstaates gibt an, mehr als 78 Millionen einzelne Registranten und 20 Millionen Familien zu haben. Ziel des Portals ist es, den Bewohnern des nördlichen Bundesstaats Rajasthan „Eine Nummer, eine Karte, eine Identität“ für den Zugang zu staatlichen Sozialsystemen anzubieten. Dies steht im Gegensatz zur regulären Aadhaar-Karte, die berechtigten Personen in ganz Indien zur Registrierung zur Verfügung steht und von der von der Zentralregierung unterstützten Unique Identification Authority (UIDAI) bereitgestellt wird.