Indiens Bundeswahlkommission hat auf ihrer Website Fehler behoben, durch die Daten im Zusammenhang mit Informationsanfragen von Bürgern zu ihrem Wahlberechtigungsstatus, lokalen politischen Kandidaten und Parteien sowie technischen Details zu elektronischen Wahlgeräten offengelegt wurden. Indien steht vor den nächsten Parlamentswahlen, die zwischen April und Mai erwartet werden, um die Mitglieder des Unterhauses des Parlaments zu wählen, die die neue Regierung bilden werden.
Die Wahlkommission Indiens hat die Fehler in ihrem Portal „Right to Information“ (RTI) behoben, das es Bürgern ermöglicht, Zugang zu Aufzeichnungen von Verfassungsbehörden sowie staatlichen und zentralen Regierungsinstitutionen und privaten Organisationen zu beantragen, die erhebliche Mittel von der indischen Regierung erhalten.
Die Fehler ermöglichten den Zugriff auf die RTI-Anfragen, das Herunterladen von Transaktionsbelegen und die von den Beamten geteilten Antworten, ohne dass die Benutzeranmeldungen ordnungsgemäß authentifiziert wurden.
Zu den offengelegten Daten gehörten das RTI-Anmeldedatum, die gestellten Fragen, der Name und die Postanschrift des Antragstellers, der Armutsgrenzwert des Antragstellers sowie RTI-Antworten.
Der Sicherheitsforscher Karan Saini fand die Fehler im Februar und bat Tech um Hilfe bei der Offenlegung gegenüber den Behörden, nachdem die Wahlkommission, das Indian Computer Emergency Response Team (CERT-In) und das National Critical Information Infrastructure Protection Center zunächst nicht auf seine Fehler reagiert hatten Anfragen, diese zu beheben. Die Fehler wurden Anfang dieser Woche nach dem Eingreifen von CERT-In behoben.
„CERT-In hat das Problem mit der betroffenen Behörde koordiniert. Kürzlich wurde CERT-In von der zuständigen Behörde darüber informiert, dass die gemeldete Schwachstelle behoben wurde“, sagte die indische Cybersicherheitsbehörde am Dienstag in einer E-Mail an Tech.
Die Agentur bestätigte dem Forscher auch die Lösung.
Auch wenn die RTI-Anträge und -Antworten nach indischem Recht nicht vertraulich sind, a Beurteilung (PDF) vom Obersten Gerichtshof von Kalkutta im Jahr 2014 die Behörden, die die personenbezogenen Daten von RTI-Bewerbern erfassen, angewiesen, „solche Informationen zu verbergen, insbesondere auf ihrer Website, damit die Öffentlichkeit nichts von den Einzelheiten erfährt.“
Standardmäßig bietet das RTI-Portal der Wahlkommission keinen Zugriff auf einzelne RTI-Anträge und -Antworten ohne Anmeldung, was bedeutet, dass der externe Zugriff auf die Daten und ihre Fähigkeit zum Scrapen – da sie ohne Anmeldung zugänglich sind – die Mängel zu einem Datenschutzproblem machten .
Die Wahlkommission Indiens antwortete nicht auf eine Bitte um Stellungnahme.