Le cloud du gouvernement indien a divulgué les données personnelles des citoyens en ligne pendant des années

Le gouvernement indien a enfin résolu un problème de cybersécurité qui datait de plusieurs années et qui révélait de nombreuses données sensibles sur ses citoyens. Un chercheur en sécurité a déclaré en exclusivité à Testeur Joe qu'il avait trouvé au moins des centaines de documents contenant des informations personnelles sur des citoyens – notamment des numéros Aadhaar, des données de vaccination contre le COVID-19 et des détails de passeport – répandus en ligne et accessibles à tous.

La faute était le service cloud du gouvernement indien, baptisé S3WaaS, qui est présenté comme un système « sécurisé et évolutif » pour créer et héberger des sites Web du gouvernement indien.

Le chercheur en sécurité Sourajeet Majumder a déclaré à Testeur Joe qu'il avait trouvé une mauvaise configuration en 2022 qui exposait les informations personnelles des citoyens stockées sur S3WaaS à l'Internet ouvert. Parce que les documents privés ont été rendus publics par inadvertance, les moteurs de recherche ont également indexé les documents, permettant à quiconque de rechercher activement sur Internet les données sensibles des citoyens privés.

Avec le soutien de l'organisation de défense des droits numériques Internet Freedom Foundation, Majumder a alors signalé l'incident à l'équipe indienne d'intervention d'urgence informatique, connue sous le nom de CERT-In, et au Centre national d'informatique du gouvernement indien.

CERT-In a rapidement reconnu le problème et les liens contenant des fichiers sensibles provenant des moteurs de recherche publics ont été supprimés.

Mais Majumder a déclaré que malgré les avertissements répétés concernant la fuite de données, le service cloud du gouvernement indien exposait toujours les informations personnelles de certaines personnes pas plus tard que la semaine dernière.

Avec des preuves d'expositions continues de données privées, Majumder a demandé de l'aide à Testeur Joe pour sécuriser les données restantes. Majumder a déclaré que les données sensibles de certains citoyens ont commencé à se répandre en ligne longtemps après qu'il ait divulgué pour la première fois la mauvaise configuration en 2022.

Testeur Joe a signalé certaines des données exposées au CERT-In. Majumder a confirmé que ces fichiers ne sont plus accessibles au public.

Lorsqu'il a été contacté avant la publication, CERT-In ne s'est pas opposé à ce que Testeur Joe publie les détails de la faille de sécurité. Les représentants du Centre national d'informatique et de S3WaaS n'ont pas répondu à une demande de commentaires.

Majumder a déclaré qu'il n'était pas possible d'estimer avec précision l'ampleur réelle de cette fuite de données, mais a averti que de mauvais acteurs auraient vendu les données sur un forum connu sur la cybercriminalité avant que celui-ci ne soit fermé par les autorités américaines. CERT-In ne dirait pas si de mauvais acteurs ont accédé aux données exposées.

Les données exposées, a déclaré Majumder, exposent potentiellement les citoyens à des risques d'usurpation d'identité et d'escroqueries.

« Qui plus est, lorsque des informations sensibles sur la santé, comme les résultats des tests de dépistage de la COVID-19 et les dossiers de vaccination, sont divulguées, ce n'est pas seulement notre vie privée médicale qui est compromise : cela attise les craintes de discrimination et de rejet social », a-t-il déclaré.

Majumder a noté que cet incident devrait être un « signal d’alarme en faveur de réformes en matière de sécurité ».

rewrite this content and keep HTML tags

Le gouvernement indien a enfin résolu un problème de cybersécurité qui datait de plusieurs années et qui révélait de nombreuses données sensibles sur ses citoyens. Un chercheur en sécurité a déclaré en exclusivité à Testeur Joe qu'il avait trouvé au moins des centaines de documents contenant des informations personnelles sur des citoyens – notamment des numéros Aadhaar, des données de vaccination contre le COVID-19 et des détails de passeport – répandus en ligne et accessibles à tous.

La faute était le service cloud du gouvernement indien, baptisé S3WaaS, qui est présenté comme un système « sécurisé et évolutif » pour créer et héberger des sites Web du gouvernement indien.

Le chercheur en sécurité Sourajeet Majumder a déclaré à Testeur Joe qu'il avait trouvé une mauvaise configuration en 2022 qui exposait les informations personnelles des citoyens stockées sur S3WaaS à l'Internet ouvert. Parce que les documents privés ont été rendus publics par inadvertance, les moteurs de recherche ont également indexé les documents, permettant à quiconque de rechercher activement sur Internet les données sensibles des citoyens privés.

Avec le soutien de l'organisation de défense des droits numériques Internet Freedom Foundation, Majumder a alors signalé l'incident à l'équipe indienne d'intervention d'urgence informatique, connue sous le nom de CERT-In, et au Centre national d'informatique du gouvernement indien.

CERT-In a rapidement reconnu le problème et les liens contenant des fichiers sensibles provenant des moteurs de recherche publics ont été supprimés.

Mais Majumder a déclaré que malgré les avertissements répétés concernant la fuite de données, le service cloud du gouvernement indien exposait toujours les informations personnelles de certaines personnes pas plus tard que la semaine dernière.

Avec des preuves d'expositions continues de données privées, Majumder a demandé de l'aide à Testeur Joe pour sécuriser les données restantes. Majumder a déclaré que les données sensibles de certains citoyens ont commencé à se répandre en ligne longtemps après qu'il ait divulgué pour la première fois la mauvaise configuration en 2022.

Testeur Joe a signalé certaines des données exposées au CERT-In. Majumder a confirmé que ces fichiers ne sont plus accessibles au public.

Lorsqu'il a été contacté avant la publication, CERT-In ne s'est pas opposé à ce que Testeur Joe publie les détails de la faille de sécurité. Les représentants du Centre national d'informatique et de S3WaaS n'ont pas répondu à une demande de commentaires.

Majumder a déclaré qu'il n'était pas possible d'estimer avec précision l'ampleur réelle de cette fuite de données, mais a averti que de mauvais acteurs auraient vendu les données sur un forum connu sur la cybercriminalité avant que celui-ci ne soit fermé par les autorités américaines. CERT-In ne dirait pas si de mauvais acteurs ont accédé aux données exposées.

Les données exposées, a déclaré Majumder, exposent potentiellement les citoyens à des risques d'usurpation d'identité et d'escroqueries.

« Qui plus est, lorsque des informations sensibles sur la santé, comme les résultats des tests de dépistage de la COVID-19 et les dossiers de vaccination, sont divulguées, ce n'est pas seulement notre vie privée médicale qui est compromise : cela attise les craintes de discrimination et de rejet social », a-t-il déclaré.

Majumder a noté que cet incident devrait être un « signal d’alarme en faveur de réformes en matière de sécurité ».

Laisser un commentaire