[ad_1]
Interne Dokumente, Krankenakten von Beamten und Personalakten der indischen Central Industrial Security Force wurden aufgrund einer Datenschutzverletzung online veröffentlicht.
Ein Sicherheitsforscher in Indien, der aus Angst vor Repressalien der indischen Regierung darum bat, nicht genannt zu werden, fand eine Datenbank voller Netzwerkprotokolle, die von einer mit dem CISF-Netzwerk verbundenen Sicherheitsanwendung generiert wurden. Die Datenbank war jedoch nicht passwortgeschützt, sodass jeder im Internet über seinen Webbrowser auf die Protokolle zugreifen konnte.
Netzwerkprotokolle enthalten detaillierte Aufzeichnungen von Dateien im CISF-Netzwerk, auf die zugegriffen oder die aufgrund von Sicherheitsrichtlinien blockiert wurden. Da die Protokolle die vollständigen Webadressen der im CISF-Netzwerk gespeicherten Dokumente enthielten, war es jedem im Internet möglich, auf die Protokolle zuzugreifen und diese Dateien dann auch direkt aus dem CISF-Netzwerk in seinem Browser zu öffnen, ohne ein Passwort zu benötigen.
Die Protokolle enthielten Datensätze für mehr als 246.000 vollständige Webadressen von PDF-Dokumenten im CISF-Netzwerk, von denen sich viele auf Personalakten und Krankenakten beziehen und personenbezogene Informationen über CISF-Agenten enthalten. Einige der Akten sind bis ins Jahr 2022 datiert.
CISF ist eine der größten Polizeikräfte der Welt mit über 160.000 Mitarbeitern, die für den Schutz von Regierungseinrichtungen, Infrastruktur und Flughafensicherheit im ganzen Land verantwortlich sind.
Der Forscher sagte, dass die Sicherheitsanwendung von Haltdos gebaut wird, einem in Indien ansässigen Sicherheitsunternehmen, das Organisationen Netzwerksicherheitstechnologie anbietet. Laut Shodan, einer Suchmaschine für exponierte Geräte und Datenbanken, wurde die Datenbank erstmals am 6. März entdeckt. TechCrunch hat bestätigt, dass die Datenbank mit dem Namen „haltdos“ konfiguriert wurde.
Anshul Saxena, CEO von Haltdos, antwortete nicht auf mehrere Anfragen nach Kommentaren. TechCrunch schickte auch eine E-Mail an einen CISF-Beauftragten für öffentliche Angelegenheiten mit mehreren Webadressen von öffentlich zugänglichen Dateien, die auf seinen Servern gespeichert sind, aber wir haben keine Antwort erhalten. Es ist nicht ungewöhnlich, dass Regierungsorganisationen in Indien Sicherheitsprobleme stillschweigend ansprechen, wenn sie von echten Sicherheitsforschern darauf aufmerksam gemacht werden, und dann die Anschuldigungen zurückweisen oder dementieren, wenn sie ausnahmslos öffentlich bekannt werden.
Auf die Datenbank kann nicht mehr zugegriffen werden, obwohl die Security Appliance selbst noch online zu sein scheint.
Weiterlesen:
[ad_2]
Source link
