Interne Dokumente, Krankenakten von Offizieren und Personalakten der indischen Central Industrial Security Force wurden wegen einer Datensicherheitslücke online verschüttet.
Ein Sicherheitsforscher in Indien, der aus Angst vor Vergeltungsmaßnahmen der indischen Regierung darum bat, nicht genannt zu werden, fand eine Datenbank voller Netzwerkprotokolle, die von einer mit dem CISF-Netzwerk verbundenen Sicherheitsanwendung generiert wurden. Die Datenbank war jedoch nicht mit einem Passwort gesichert, sodass jeder im Internet über seinen Webbrowser auf die Protokolle zugreifen konnte.
Die Netzwerkprotokolle enthalten detaillierte Aufzeichnungen darüber, auf welche Dateien im CISF-Netzwerk zugegriffen oder die aufgrund von Sicherheitsregeln blockiert wurden. Da die Protokolle vollständige Webadressen von Dokumenten enthielten, die im CISF-Netzwerk gespeichert waren, war es jedem im Internet möglich, auf die Protokolle zuzugreifen und diese Dateien dann in ihrem Browser direkt aus dem CISF-Netzwerk zu öffnen, auch ohne ein Passwort zu benötigen.
Die Protokolle enthielten Datensätze für mehr als 246.000 vollständige Webadressen von PDF-Dokumenten im CISF-Netzwerk, von denen sich viele auf Personalakten und Krankenakten beziehen und personenbezogene Daten von CISF-Beamten enthalten. Einige der Akten sind bis ins Jahr 2022 datiert.
CISF ist eine der größten Polizeikräfte der Welt mit mehr als 160.000 Mitarbeitern, deren Aufgabe es ist, staatliche Einrichtungen, Infrastruktur und Flughafensicherheit im ganzen Land zu schützen.
Der Forscher sagte, dass die Sicherheitsanwendung von Haltdos gebaut wird, einem in Indien ansässigen Sicherheitsunternehmen, das Organisationen Netzwerksicherheitstechnologie anbietet. Laut Shodan, einer Suchmaschine für exponierte Geräte und Datenbanken, wurde die Datenbank erstmals am 6. März als exponiert befunden. Tech hat bestätigt, dass die Datenbank mit dem Namen „haltdos“ konfiguriert wurde.
Anshul Saxena, CEO von Haltdos, antwortete nicht auf mehrere Anfragen nach Kommentaren. Tech schickte einem CISF-Beauftragten für öffentliche Angelegenheiten auch eine E-Mail mit mehreren Webadressen öffentlich zugänglicher Dateien, die auf seinen Servern gespeichert sind, aber wir erhielten keine Antwort. Es ist nicht ungewöhnlich, dass Organisationen in Indien, einschließlich der indischen Regierung, Sicherheitsprobleme stillschweigend beheben, wenn sie von gutgläubigen Sicherheitsforschern gewarnt werden, die Behauptungen dann jedoch zurückweisen oder dementieren, wenn sie ausnahmslos öffentlich bekannt werden.
Auf die Datenbank kann nicht mehr zugegriffen werden, obwohl die Security Appliance selbst noch online zu sein scheint.
Weiterlesen: