De Indiase regering heeft eindelijk een oplossing gevonden voor een jarenlang cyberveiligheidsprobleem, waarbij grote hoeveelheden gevoelige gegevens over haar burgers aan het licht zijn gekomen. Een beveiligingsonderzoeker vertelde dat hij minstens honderden documenten met persoonlijke informatie van burgers – waaronder Aadhaar-nummers, COVID-19-vaccinatiegegevens en paspoortgegevens – online had gevonden waar iedereen toegang toe had.
De schuldige was de clouddienst van de Indiase overheid, genaamd S3WaaS, die wordt aangekondigd als een “veilig en schaalbaar” systeem voor het bouwen en hosten van websites van de Indiase overheid.
Beveiligingsonderzoeker Sourajeet Majumder vertelde dat hij in 2022 een verkeerde configuratie ontdekte waardoor de persoonlijke informatie van burgers die op S3WaaS was opgeslagen, werd blootgesteld aan het open internet. Omdat de privédocumenten onbedoeld openbaar werden gemaakt, indexeerden zoekmachines de documenten ook, waardoor iedereen actief op internet kon zoeken naar de gevoelige gegevens van burgers.
Majumder zei dat, ondanks herhaalde waarschuwingen over de datalekken, de clouddienst van de Indiase overheid vorige week nog steeds de persoonlijke informatie van sommige individuen openbaarde. Majumder zei dat gevoelige gegevens van sommige burgers online terechtkwamen lang nadat hij de verkeerde configuratie in 2022 voor het eerst had onthuld.
De blootgestelde gegevens, aldus Majumder, brengen burgers mogelijk het risico op identiteitsdiefstal en oplichting. “Meer nog, wanneer gevoelige gezondheidsinformatie zoals COVID-testresultaten en vaccingegevens naar buiten komt, is het niet alleen onze medische privacy die in gevaar komt – het wekt de angst voor discriminatie en sociale afwijzing”, zei hij.
Majumder merkte op dat dit incident een “wake-up call voor veiligheidshervormingen” zou moeten zijn.
Alles bij de bron; TechCrunch [googliaans vertaald]