Die indische Regierung hat endlich ein jahrelanges Cybersicherheitsproblem gelöst, bei dem Unmengen sensibler Daten über ihre Bürger offengelegt wurden. Ein Sicherheitsforscher teilte Tech exklusiv mit, dass er mindestens Hunderte von Dokumenten gefunden habe, die persönliche Daten von Bürgern enthielten – darunter Aadhaar-Nummern, COVID-19-Impfdaten und Passdaten –, die im Internet für jedermann zugänglich seien.
Schuld daran war der Cloud-Dienst der indischen Regierung namens S3WaaS, der als „sicheres und skalierbares“ System zum Erstellen und Hosten indischer Regierungswebsites angepriesen wird.
Der Sicherheitsforscher Sourajeet Majumder sagte gegenüber Tech, dass er im Jahr 2022 eine Fehlkonfiguration entdeckt habe, die die auf S3WaaS gespeicherten persönlichen Daten der Bürger dem offenen Internet zugänglich gemacht habe. Da die privaten Dokumente versehentlich veröffentlicht wurden, wurden die Dokumente auch von Suchmaschinen indiziert, sodass jeder aktiv im Internet nach den sensiblen Privatdaten suchen konnte.
Mit Unterstützung der Internet Freedom Foundation, einer Organisation für digitale Rechte, meldete Majumder den damaligen Vorfall dem indischen Computer-Notfallteam, bekannt als CERT-In, und dem National Informatics Centre der indischen Regierung.
CERT-In erkannte das Problem schnell und Links mit vertraulichen Dateien aus öffentlichen Suchmaschinen wurden entfernt.
Majumder sagte jedoch, dass der Cloud-Dienst der indischen Regierung trotz wiederholter Warnungen vor der Datenleckage noch letzte Woche die persönlichen Daten einiger Personen preisgegeben habe.
Angesichts der Beweise für die anhaltende Offenlegung privater Daten bat Majumder Tech um Hilfe bei der Sicherung der verbleibenden Daten. Majumder sagte, dass die sensiblen Daten einiger Bürger online verbreitet wurden, lange nachdem er die Fehlkonfiguration im Jahr 2022 erstmals offengelegt hatte.
Tech hat einige der offengelegten Daten an CERT-In gemeldet. Majumder bestätigte, dass diese Dateien nicht mehr öffentlich zugänglich seien.
Als CERT-In vor der Veröffentlichung kontaktiert wurde, hatte es keine Einwände gegen die Veröffentlichung von Details der Sicherheitslücke durch Tech. Vertreter des National Informatics Center und von S3WaaS antworteten nicht auf eine Bitte um Stellungnahme.
Majumder sagte, es sei nicht möglich, das wahre Ausmaß dieses Datenlecks genau abzuschätzen, warnte jedoch, dass Kriminelle die Daten angeblich in einem bekannten Forum für Cyberkriminalität verkauft hätten, bevor es von den US-Behörden geschlossen wurde. CERT-In würde nicht sagen, ob böswillige Akteure auf die offengelegten Daten zugegriffen haben.
Die offengelegten Daten, so Majumder, setzen die Bürger möglicherweise dem Risiko von Identitätsdiebstahl und Betrug aus.
„Darüber hinaus wird nicht nur unsere medizinische Privatsphäre gefährdet, wenn sensible Gesundheitsinformationen wie COVID-Testergebnisse und Impfprotokolle an die Öffentlichkeit gelangen – es schürt auch Ängste vor Diskriminierung und sozialer Ablehnung“, sagte er.
Majumder wies darauf hin, dass dieser Vorfall ein „Weckruf für Sicherheitsreformen“ sein sollte.