Hindistan hükümeti, vatandaşlarıyla ilgili çok sayıda hassas verinin açığa çıkmasına neden olan, yıllardır süren siber güvenlik sorununu nihayet çözdü. Bir güvenlik araştırmacısı TechCrunch’a özel olarak, Aadhaar numaraları, COVID-19 aşı verileri ve pasaport bilgileri de dahil olmak üzere vatandaşların kişisel bilgilerini içeren en az yüzlerce belgenin herkesin erişebileceği şekilde çevrimiçi ortama yayıldığını bulduğunu söyledi.
Hatalı olan, Hindistan hükümetinin web sitelerini oluşturmak ve barındırmak için “güvenli ve ölçeklenebilir” bir sistem olarak ilan edilen S3WaaS adlı Hindistan hükümetinin bulut hizmetiydi.
Güvenlik araştırmacısı Sourajeet Majumder, TechCrunch’a 2022’de vatandaşların S3WaaS’ta depolanan kişisel bilgilerinin açık internete ifşa edilmesine neden olan bir yanlış yapılandırma bulduğunu söyledi. Özel belgeler yanlışlıkla kamuya açıklandığı için, arama motorları da belgeleri dizine ekleyerek herkesin hassas özel vatandaş verilerini aktif olarak internette aramasına olanak tanıdı.
Majumder, dijital haklar örgütü İnternet Özgürlüğü Vakfı’nın desteğiyle olayı o sırada Hindistan’ın CERT-In olarak bilinen bilgisayar acil müdahale ekibine ve Hindistan hükümetinin Ulusal Bilişim Merkezi’ne bildirdi.
CERT-In sorunu hızla kabul etti ve genel arama motorlarından hassas dosyalar içeren bağlantılar kaldırıldı.
Ancak Majumder, veri sızıntısıyla ilgili defalarca yapılan uyarılara rağmen Hindistan hükümetinin bulut hizmetinin geçen haftaya kadar hala bazı kişilerin kişisel bilgilerini ifşa ettiğini söyledi.
Özel verilerin sürekli olarak açığa çıktığına dair kanıtlarla Majumder, TechCrunch’tan geri kalan verilerin güvenliğinin sağlanması konusunda yardım istedi. Majumder, bazı vatandaşların hassas verilerinin, yanlış yapılandırmayı 2022’de ilk kez ifşa etmesinden çok sonra bile çevrimiçi olarak yayılmaya başladığını söyledi.
TechCrunch, açığa çıkan verilerin bir kısmını CERT-In’e bildirdi. Majumder, bu dosyaların artık kamuya açık olmadığını doğruladı.
Yayınlanmadan önce ulaşıldığında CERT-In, TechCrunch’ın güvenlik açığının ayrıntılarını yayınlamasına itiraz etmedi. Ulusal Bilişim Merkezi ve S3WaaS temsilcileri yorum talebine yanıt vermedi.
Majumder, bu veri sızıntısının gerçek boyutunu doğru bir şekilde tahmin etmenin mümkün olmadığını söyledi ancak kötü aktörlerin, ABD yetkilileri tarafından kapatılmadan önce verileri bilinen bir siber suç forumunda sattıkları iddiası konusunda uyardı. CERT-In, açığa çıkan verilere kötü aktörlerin erişip erişmediğini söylemedi.
Majumder, ifşa edilen verilerin potansiyel olarak vatandaşları kimlik hırsızlığı ve dolandırıcılık riskiyle karşı karşıya bıraktığını söyledi.
“Dahası, KOVİD test sonuçları ve aşı kayıtları gibi hassas sağlık bilgileri ortaya çıktığında, tehlikeye atılan yalnızca tıbbi mahremiyetimiz değil, aynı zamanda ayrımcılık ve sosyal reddedilme korkusunu da artırıyor” dedi.
Majumder, bu olayın “güvenlik reformları için bir uyandırma çağrısı” olması gerektiğini kaydetti.