تقنية

لقد سربت سحابة الحكومة الهندية البيانات الشخصية للمواطنين عبر الإنترنت لسنوات


تمكنت الحكومة الهندية أخيرًا من حل مشكلة الأمن السيبراني التي استمرت لسنوات والتي كشفت عن كميات كبيرة من البيانات الحساسة حول مواطنيها. أخبر باحث أمني موقع TechCrunch حصريًا أنه وجد ما لا يقل عن مئات المستندات التي تحتوي على معلومات شخصية للمواطنين – بما في ذلك أرقام Aadhaar، وبيانات التطعيم ضد فيروس كورونا، وتفاصيل جواز السفر – منتشرة عبر الإنترنت ليتمكن أي شخص من الوصول إليها.

وكان الخطأ هو الخدمة السحابية التي تقدمها الحكومة الهندية، والتي يطلق عليها اسم S3WaaS، والتي توصف بأنها نظام “آمن وقابل للتطوير” لبناء واستضافة المواقع الإلكترونية الحكومية الهندية.

قال الباحث الأمني ​​Sourajeet Majumder لـ TechCrunch إنه اكتشف تكوينًا خاطئًا في عام 2022 كان يعرض المعلومات الشخصية للمواطنين المخزنة على S3WaaS إلى الإنترنت المفتوح. نظرًا لأن المستندات الخاصة تم نشرها للعامة عن غير قصد، قامت محركات البحث أيضًا بفهرسة المستندات، مما يسمح لأي شخص بالبحث بنشاط في الإنترنت عن بيانات المواطنين الخاصة الحساسة.

وبدعم من منظمة الحقوق الرقمية، مؤسسة حرية الإنترنت، أبلغ ماجومدر بالحادثة في ذلك الوقت إلى فريق الاستجابة لطوارئ الكمبيوتر الهندي، المعروف باسم CERT-In، والمركز الوطني للمعلومات التابع للحكومة الهندية.

وسرعان ما أقر فريق CERT-In بالمشكلة، وتم سحب الروابط التي تحتوي على ملفات حساسة من محركات البحث العامة.

لكن ماجومدر قال إنه على الرغم من التحذيرات المتكررة بشأن تسرب البيانات، فإن الخدمة السحابية التابعة للحكومة الهندية لا تزال تكشف المعلومات الشخصية لبعض الأفراد حتى الأسبوع الماضي.

ومع وجود أدلة على التعرض المستمر للبيانات الخاصة، طلب Majumder من TechCrunch المساعدة في تأمين البيانات المتبقية. وقال ماجومدر إن البيانات الحساسة لبعض المواطنين بدأت تتسرب عبر الإنترنت بعد فترة طويلة من كشفه لأول مرة عن التكوين الخاطئ في عام 2022.

أبلغت TechCrunch عن بعض البيانات المكشوفة إلى CERT-In. وأكد ماجومدر أن هذه الملفات لم تعد متاحة للعامة.

عند الوصول إليه قبل النشر، لم يعترض CERT-In على نشر TechCrunch لتفاصيل الثغرة الأمنية. ولم يستجب ممثلو المركز الوطني للمعلومات وS3WaaS لطلب التعليق.

وقال ماجومدر إنه لم يكن من الممكن تقدير المدى الحقيقي لتسرب البيانات بدقة، لكنه حذر من أن الجهات الفاعلة السيئة كانت تبيع البيانات في منتدى معروف للجرائم الإلكترونية قبل أن تغلقه السلطات الأمريكية. لن يحدد CERT-In ما إذا كانت الجهات الفاعلة السيئة قد وصلت إلى البيانات المكشوفة.

وقال ماجومدر إن البيانات المكشوفة من المحتمل أن تعرض المواطنين لخطر سرقة الهوية والاحتيال.

وقال: “أكثر من ذلك، عندما يتم نشر معلومات صحية حساسة مثل نتائج اختبار فيروس كورونا وسجلات اللقاحات، فإن خصوصيتنا الطبية ليست فقط هي التي تتعرض للخطر – بل تثير مخاوف من التمييز والرفض الاجتماعي”.

وأشار ماجومدر إلى أن هذا الحادث يجب أن يكون “جرس التنبيه للإصلاحات الأمنية”.

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى