Hindistan’ın Merkezi Endüstriyel Güvenlik Gücü’ne ait dahili belgeler, memur sağlık kayıtları ve personel dosyaları, bir veri güvenliği gecikmesi nedeniyle çevrimiçi ortama sızıyordu.
Hindistan hükümetinden misilleme korkusuyla isminin açıklanmamasını isteyen Hindistan’daki bir güvenlik araştırmacısı, CISF ağına bağlı bir güvenlik cihazı tarafından oluşturulan ağ günlükleriyle dolu bir veritabanı buldu. Ancak, veritabanı bir parola ile güvence altına alınmadı ve internetteki herkesin web tarayıcılarından günlüklere erişmesine izin verdi.
Ağ günlükleri, güvenlik kuralları nedeniyle CISF ağındaki hangi dosyalara erişildiğinin veya engellendiğinin ayrıntılı kayıtlarını içerir. Günlükler, CISF’nin ağında depolanan belgelerin tam web adreslerini içerdiğinden, internetteki herkesin günlüklere erişmesi ve ardından bu dosyaları parolaya ihtiyaç duymadan doğrudan CISF’nin ağından tarayıcılarında açması mümkündü.
Günlükler, çoğu personel dosyaları ve sağlık kayıtlarıyla ilgili olan ve CISF görevlileri hakkında kişisel olarak tanımlanabilir bilgiler içeren, CISF ağındaki 246.000’den fazla PDF belgesinin tam web adresinin kayıtlarını içeriyordu. Dosyaların bazıları 2022 yılına kadar tarihli.
CISF, ülke genelinde hükümet tesislerini, altyapıyı ve havaalanı güvenliğini korumakla görevli 160.000’den fazla personeliyle dünyanın en büyük polis güçlerinden biridir.
Araştırmacı, güvenlik cihazının kuruluşlara ağ güvenliği teknolojisi sağlayan Hindistan merkezli bir güvenlik şirketi olan Haltdos tarafından yapıldığını söyledi. Açıkta kalan cihazlar ve veritabanları için bir arama motoru olan Shodan’a göre, veritabanı ilk olarak 6 Mart’ta açığa çıktı. TechCrunch, veritabanının “haltdos” adıyla yapılandırıldığını doğruladı.
Haltdos CEO’su Anshul Saxena, birden fazla yorum talebine yanıt vermedi. TechCrunch ayrıca bir CISF halkla ilişkiler görevlisine, sunucularında depolanan ve herkese açık olarak ifşa edilen dosyaların birkaç web adresini içeren bir e-posta gönderdi, ancak bir yanıt almadık. Hindistan’daki devlet kurumlarının, iyi niyetli güvenlik araştırmacıları tarafından uyarıldıklarında güvenlik sorunlarını sessizce çözmeleri, ancak daha sonra her zaman kamu bilgisi haline geldiklerinde iddiaları reddetmeleri veya reddetmeleri nadir değildir.
Güvenlik cihazının kendisi hala çevrimiçi görünse de, veritabanına artık erişilemiyor.
Daha fazla oku:
