Hindistan eyalet hükümeti, milyonlarca sakinin hassas belgelerini ve kişisel bilgilerini açığa çıkaran web sitesini etkileyen güvenlik sorunlarını giderdi.
Hatalar, eyaletteki ailelere ve bireylere refah programlarına erişim için tek bir tanımlayıcı sağlayan bir devlet programı olan Jan Aadhaar ile ilgili Rajasthan hükümetinin web sitesinde mevcuttu. Hatalar, kayıt yaptıranlarla ilgili Aadhaar kartlarının, doğum ve evlilik sertifikalarının, elektrik faturalarının ve gelir tablolarının yanı sıra doğum tarihi, cinsiyet ve baba adı gibi kişisel bilgilerin kopyalarını açığa çıkardı.
Siber güvenlik şirketi CloudDefense.ai için çalışan güvenlik araştırmacısı Viktor Markopoulos, Aralık ayında Jan Aadhaar portalındaki hataları buldu ve TechCrunch’tan yetkililere açıklama konusunda yardım istedi.
Hatalar geçen hafta Hindistan Bilgisayar Acil Durum Müdahale Ekibi veya CERT-In’in müdahalesiyle giderildi.
Hatalardan biri, herkesin, kayıtlı kişinin telefon numarasını bilen kişisel belgelere ve bilgilere erişmesine izin verdi.
Araştırmacı, diğer hatanın, sunucunun tek kullanımlık şifrelerin geçerliliğini düzgün bir şekilde kontrol etmemesi nedeniyle hassas verilerin geri getirilmesine izin verdiğini açıkladı.
TechCrunch, 22 Aralık’ta Rajasthan hükümetinin Jan Aadhaar Otoritesine ulaştı ve bir hafta sonra tekrar iletişime geçti ancak bir yanıt alamadı. TechCrunch daha sonra hatanın ayrıntılarını CERT-In ile paylaştı ve Perşembe günü hataların düzeltildiğini doğruladı.
Ajans TechCrunch’a şunları söyledi: “Bu, ilgili makamdan bildirilen güvenlik açığının giderildiğine dair bir yanıt aldığımızı size bildirmek içindir.” Araştırmacı ayrıca düzeltmeyi de doğruladı.
TechCrunch, yayınlanmadan önce yorum almak için Rajasthan hükümetine tekrar başvurdu ancak herhangi bir yanıt alamadık.
Eyaletin 2019’da hizmete giren Jan Aadhaar portalı, 78 milyondan fazla bireysel kayıt yaptıran kişinin ve 20 milyon ailenin bulunduğunu söylüyor. Portal, kuzey Rajasthan eyaletinde yaşayanlara eyalet hükümetinin sosyal yardım programlarına erişim için “Tek Numara, Tek Kart, Tek Kimlik” sunmayı amaçlıyor. Bu, Hindistan genelinde uygun kişilerin kaydolabileceği ve merkezi hükümet destekli Benzersiz Kimlik Otoritesi (UIDAI) tarafından sağlanan normal Aadhaar kartıyla çelişiyor.
