Η εθνική πύλη logistics της Ινδίας εξέθεσε ευαίσθητα προσωπικά δεδομένα, εμπορικά αρχεία

Η κρατική πύλη logistics της Ινδίας έχει διορθώσει λανθασμένες διαμορφώσεις και ευπάθειες που αποκάλυψαν ευαίσθητα προσωπικά δεδομένα και διάφορα κρατικά και ιδιωτικά εμπορικά αρχεία.

Ονομάζεται το

National Logistics Portal-Marine

, ο ιστότοπος δημοσιοποίησε τα ευαίσθητα και ιδιωτικά δεδομένα λόγω εσφαλμένων διαμορφωμένων κάδους Amazon S3. Έφερε επίσης ένα αρχείο JavaScript που περιλάμβανε διαπιστευτήρια σύνδεσης στον πηγαίο κώδικα ιστού.

Ερευνητής

ασφάλειας

Μπομπ Ντιατσένκο

βρήκε τα προβλήματα με την ινδική πύλη μέσω του εργαλείου ασφαλείας ανοιχτού κώδικα TruffleHog. Ο Diachenko είπε στο TechCrunch ότι τα εκτεθειμένα δεδομένα περιελάμβαναν πλήρη ονόματα, εθνικότητα, ημερομηνία γέννησης,

φύλο

, αριθμούς διαβατηρίων, αρχή έκδοσης διαβατηρίων και ημερομηνία λήξης που υπέβαλαν διάφορα μέλη του πληρώματος πλοίων και πλοίων για το ταξίδι τους. Ομοίως, μεταξύ ευαίσθητων πληροφοριών υπήρχαν τιμολόγια, παραγγελίες αποστολής και λογαριασμοί φόρτωσης.

“Οι λόγοι [for the exposure] είναι πολλαπλά σε αυτήν την περίπτωση — όλα οδηγούν σε διάφορες εσφαλμένες ρυθμίσεις παραμέτρων, ξεκινώντας από την αποθήκευση διαπιστευτηρίων με σκληρό κώδικα σε ένα αρχείο JavaScript και στους δημόσιους κάδους S3», είπε στο TechCrunch.

Στις 25 Σεπτεμβρίου ο Diachenko

αναρτήθηκε

ένα στιγμιότυπο οθόνης στο X, παλαιότερα γνωστό ως

Twitter

, που δείχνει ένα από τα εκτεθειμένα αρχεία με αναδιατυπωμένες ευαίσθητες πληροφορίες. Στη συνέχεια, επικοινώνησε μαζί του η Indian Computer Emergency Response Team (

CERT-In

) και η ομάδα ασφαλείας του AWS για να κατανοήσουν καλύτερα το περιστατικό. Το TechCrunch ενημέρωσε επίσης ξεχωριστά το CERT-In για το θέμα λίγο μετά τη λήψη των λεπτομερειών από τον ερευνητή. Το πρακτορείο nodal αναγνώρισε τη λήψη της

επικοινωνία

ς μας την Τρίτη και επιβεβαίωσε την επιδιόρθωση την Παρασκευή.

«Σε ό,τι αφορά το τελικό μήνυμα ηλεκτρονικού ταχυδρομείου, ο ενδιαφερόμενος οργανισμός επιβεβαίωσε ότι η ευπάθεια μετριάστηκε», δήλωσε η CERT-In επιβεβαιώνοντας την επιδιόρθωση.

Το Υπουργείο Λιμένων, Ναυτιλίας και Πλωτών Μεταφορών και η εταιρεία που είναι υπεύθυνη για την πύλη

Πύλη

θυγατρική του επιχειρηματικού ομίλου της Ινδίας JM Baxi, δεν απάντησε σε πολλαπλά αιτήματα για σχόλια πριν από τη δημοσίευση.

Υπουργείο Λιμένων, Ναυτιλίας και Πλωτών Μεταφορών

εκτοξεύτηκε

το National Logistics Portal-Marine τον Ιανουάριο. Το έργο στοχεύει να λειτουργήσει ως «ενιαίο παράθυρο» για όλες τις εμπορικές διαδικασίες εφοδιαστικής και καλύπτει τρόπους μεταφοράς σε πλωτές οδούς, οδούς και αεραγωγούς. Περιλαμβάνει επίσης μια ηλεκτρονική αγορά για πρόσβαση σε υπηρεσίες logistics από άκρο σε άκρο.

Το περιστατικό έκθεσης δεδομένων έρχεται λίγο περισσότερο από ένα μήνα αφότου η Ινδία, η δεύτερη μεγαλύτερη αγορά Διαδικτύου μετά την Κίνα, έλαβε τον αναμενόμενο νόμο περί απορρήτου, τον Νόμο για την Προστασία Προσωπικών Δεδομένων Ψηφιακών Δεδομένων, 2023. Ο νόμος περιγράφει κατευθυντήριες γραμμές για τη χρήση προσωπικών δεδομένων από ιδιωτικές εταιρείες, αλλά απαλλάσσει την ινδική κυβέρνηση από νομικές υποχρεώσεις.