Indiens staatliches Logistikportal hat Fehlkonfigurationen und Schwachstellen behoben, die sensible personenbezogene Daten sowie verschiedene staatliche und private Handelsunterlagen offengelegt haben.
Genannt Nationales Logistikportal-Marine, machte die Website die sensiblen und privaten Daten aufgrund falsch konfigurierter Amazon S3-Buckets öffentlich. Es enthielt auch eine JavaScript-Datei, die Anmeldeinformationen in den Web-Quellcode einfügte.
Sicherheitsforscher Bob Diachenko hat die Probleme mit dem indischen Portal über das Open-Source-Sicherheitstool TruffleHog gefunden. Diachenko sagte gegenüber Tech, dass zu den offengelegten Daten vollständige Namen, Nationalität, Geburtsdatum, Geschlecht, Passnummern, Passausstellungsbehörde und Ablaufdatum gehörten, die verschiedene Besatzungsmitglieder von Schiffen und Schiffen für ihre Reise angegeben hatten. Ebenso zählten Rechnungen, Versandaufträge und Frachtbriefe zu den sensiblen Informationen.
„Die Gründe [for the exposure] In diesem Fall gibt es mehrere – alle führen zu verschiedenen Fehlkonfigurationen, angefangen bei der Speicherung fest codierter Anmeldeinformationen in einer JavaScript-Datei bis hin zu den öffentlichen S3-Buckets“, sagte er gegenüber Tech.
Am 25. September Diachenko Gesendet ein Screenshot auf X, früher bekannt als Twitter, der eine der offengelegten Dateien mit redigierten vertraulichen Informationen zeigt. Anschließend wurde er vom Indian Computer Emergency Response Team (CERT-In) und dem Sicherheitsteam von AWS kontaktiert, um den Vorfall besser zu verstehen. Tech informierte CERT-In auch separat über die Angelegenheit, kurz nachdem er die Details vom Forscher erhalten hatte. Die Knotenagentur bestätigte am Dienstag den Eingang unserer Mitteilung und bestätigte die Fehlerbehebung am Freitag.
„In Bezug auf die nachfolgende E-Mail hat die betroffene Organisation bestätigt, dass die Sicherheitslücke behoben ist“, sagte CERT-In bei der Bestätigung der Fehlerbehebung.
Das Ministerium für Häfen, Schifffahrt und Wasserstraßen und das für das Portal verantwortliche Unternehmen Portalleine Tochtergesellschaft des indischen Wirtschaftskonzerns JM Baxi, reagierte vor der Veröffentlichung nicht auf mehrere Anfragen nach Kommentaren.
Das Ministerium für Häfen, Schifffahrt und Wasserstraßen gestartet das National Logistics Portal-Marine im Januar. Das Projekt zielt darauf ab, als „zentrales Fenster“ für alle logistischen Handelsprozesse zu fungieren und die Transportarten auf den Wasser-, Straßen- und Luftwegen abzudecken. Es umfasst auch einen Online-Marktplatz für den Zugriff auf umfassende Logistikdienstleistungen.
Der Vorfall mit der Offenlegung von Daten ereignet sich etwas mehr als einen Monat, nachdem Indien, der zweitgrößte Internetmarkt nach China, sein erwartetes Datenschutzgesetz, den Digital Personal Data Protection Act, 2023, erhalten hat befreit die indische Regierung von rechtlichen Verpflichtungen.