Недостаток правительственного сайта Telangana раскрыл конфиденциальные данные всех его сотрудников, пенсионеров; Только фиксированный

В августе на правительственном сайте Теланганы была обнаружена неправильная конфигурация сервера, в результате которой было обнаружено более 130 000 официальных файлов.

правительственный, сайта, telangana, весь, сотрудник

Хакеры могли использовать уязвимость для запуска целевых атак.

Правительству штата Телангана потребовалось более трех месяцев, чтобы защитить конфиденциальные данные о своих сотрудниках и пенсионерах от своего веб-сайта. Индийская группа реагирования на компьютерные чрезвычайные ситуации (CERT-In) подтвердила наличие уязвимости и ответила на электронное письмо в сентябре, в котором говорилось, что власти были проинформированы об этой проблеме, а ИТ-секретарь Телангана Джайеш Ранджан заверил, что решение будет исправлено.

В августе на правительственном сайте Теланганы была обнаружена неправильная конфигурация сервера, в результате чего было обнаружено более 130 000 официальных файлов. Эти файлы включали в себя тысячи платежных ведомостей государственных служащих, сведения о подоходном налоге и пенсионные документы, в которых была информация, включая полные имена, адреса, номера банковских счетов, а также коды IFSC, номера телефонов и зарплаты, а также другие данные.

Неправильная конфигурация была обнаружена исследователем безопасности, имя которого @ _ars1an на.

Некоторые из обнаруженных файлов также включали фотографии и отпечатки пальцев различных государственных служащих и пенсионеров. Аналогичным образом, налоговые и пенсионные данные некоторых пожилых граждан, которые были государственными служащими, также были уязвимы, к которым могли получить доступ хакеры для серьезных атак, направленных на доверчивое население.

«Поскольку весь веб-сайт разработан, я не удивлюсь, если данные уже выгружены и готовы к загрузке из даркнета». сказал исследователь Gadgets 360.

Вскоре после обнаружения недостатка компания Gadgets 360 отправила электронное письмо министру информационных технологий Теланганы К. Т. Рама Рао, чтобы сообщить об обнаружении уязвимости 28 августа. Министр не ответил на это письмо.

READ  Как Очистить Кэш Игры На Айфоне

В тот же день Gadgets 360 отправила подробную информацию секретарю по информационным технологиям Telangana Джайешу Ранджану. 29 августа ИТ-секретарь ответил Gadgets 360, где заверил, что все исправлено, и продолжал переписку более месяца, чтобы разобраться в проблеме. CERT-In также отдельно сообщил в электронном письме, что властям сообщили об уязвимости.

Однако, по словам исследователя безопасности, ИТ-команда, стоящая за правительственным сайтом Теланганы, сначала просто отключила каталоги, содержащие файлы с конфиденциальными данными, и не исправила точную ошибку. Затем потребовались месяцы, чтобы исправить неправильную конфигурацию.

Как можно было неправильно использовать эти данные?

Личные данные, такие как имена и банковская информация, не могут быть использованы напрямую против человека. Однако это не означает, что раскрывать эту информацию безопасно. «Люди могут использовать данные для запуска фишинговых атак против жертв на основе их платежных данных и реквизитов банковского счета». сказал Сринивас Кодали, междисциплинарный исследователь, работающий с данными, обществом и Интернетом.

Консультант по кибербезопасности из Украины Боб Дьяченко заявил, что, хотя проблема с открытым каталогом, раскрывающая конфиденциальные файлы, больше не существует на правительственном сайте Теланганы, она все еще остается довольно уязвимой.

«Они закрыли самые очевидные бреши, но если вы присмотритесь. корабль потерпел крушение». сказал он Gadgets 360. Дьяченко сказал, что все это место нужно полностью перестроить.

По сообщениям СМИ, правительственный сайт Теланганы имел серьезные уязвимости и недостатки в защите данных и в прошлом. Один из них, всплывший в феврале 2018 года, якобы раскрыл Aadhaar подробную информацию о 56 тысячах бенефициаров Национальной программы гарантии занятости в сельской местности и 40 тысячах получателей пенсий по социальному обеспечению. О неправильной конфигурации сервера, аналогичной последней, также сообщалось в ноябре прошлого года.

READ  Microsoft DirectX 12 Ultimate One API для управления всеми

«Отсутствие должной осмотрительности»

Эксперты отмечают, что защита сайта от проблем, подобных тем, которые затрагивают правительственный сайт Telangana, не требует каких-либо специальных знаний, и ее можно избежать, просто развернув веб-брандмауэр и следуя надлежащей структуре.

«Им просто не хватает простых проверок». сказал Дьяченко.

Сандип Кумар Шукла, руководитель отдела компьютерных наук и инженерии Индийского технологического института, Канпур, рассказал Gadgets 360, что студентам преподают ту работу, которую требует правительственный сайт. Он также подчеркнул, что правительству штата следовало бы обнаружить недостатки, если бы оно провело единственную оценку уязвимости, прежде чем размещать что-либо на общедоступном портале.

Шукла часто проводит различные программы кибербезопасности и возглавляет Центр кибербезопасности и защиты критической инфраструктуры.

«В целом, должны быть соответствующие законы, нормативные требования и нормативные акты, которые заставили бы крупные организации фактически нанимать компетентных людей для обеспечения безопасности своих информационных систем». сказал он. «Даже если у вас есть лучшие профессионалы в области безопасности, у вас может не быть 100-процентной личной безопасности, но вы должны проявить должную осмотрительность, и то, что вы видели в этом случае, было полным отсутствием должной осмотрительности».

READ  WhatsApp откладывает развертывание нового обновления политики конфиденциальности из-за широкой критики

Хотя в Индии давно запланировано введение эквивалента Общего регламента по защите данных (GDPR) в Европе, отсутствие таких строгих законов означает, что компаниям и правительственным учреждениям не придется сталкиваться с последствиями утечки общедоступных данных.

Адвокат Прасанна С., «кодировщик, ставший юристом», который предстал перед Верховным судом по делу Aadhaar, сказал Gadgets 360, что правительству Теланганы необходимо уведомить широкую публику о нарушении и предпринимаемых усилиях по его устранению. Он также сказал, что даже если предположить, что личные данные людей были собраны на законных основаниях, неадекватные гарантии, в том числе несоблюдение процесса своевременного уведомления о нарушениях, будут противоречить знаменательному постановлению Верховного суда по Путтасвами, которое признало неприкосновенность частной жизни основным правом.

«Уведомление о нарушении является важным принципом защиты данных, так же как и принятие разумных мер безопасности для предотвращения повторения». сказал он.

Приведет ли Apple Silicon к выпуску доступных MacBook в Индии? Мы обсуждали это в Orbital, нашем еженедельном технологическом подкасте, на который вы можете подписаться через Apple Podcasts, Google Podcasts или RSS, загрузить выпуск или просто нажать кнопку воспроизведения ниже.

Чтобы быть в курсе последних технических новостей и обзоров, следите за Гаджетами 360 в. и Новостях Google. Чтобы смотреть самые свежие видео о гаджетах и ​​технологиях, подпишитесь на наш канал на YouTube.