Datos personales, incluido el estado de COVID-19 de 8 millones de indios expuestos en línea

Según lo detectado por los investigadores de VPNMentor, un datos de volcado de al menos 8 millones de indios PII han sido expuestos en público. Los datos recopilados fueron parte de las pruebas COVID-19, donde contenían su estado de prueba. Además, hay un repositorio de git que almacena la fuente de su portal creado por el gobierno y las credenciales de inicio de sesión del panel de administrador estaban disponibles para que cualquiera pudiera acceder.

8 millones de indios expusieron datos de COVID-19

En un acto desvergonzado, el gobierno de Uttar Pradesh (UP) “Plataforma de vigilancia Uttar Pradesh Covid-19 ″ El portal no cuenta con los protocolos de seguridad adecuados para proteger los datos de los ciudadanos y, supuestamente, expuso la PII de millones de indios. Según lo informado por Investigadores de VPNMentor, el portal es creado por el gobierno de la UP para rastrear y mantener datos de COVID-19.

Fuente de la imagen – CISO Mag

En primer lugar, el repositorio de git que contiene el código fuente de ese portal, junto con los datos de millones de personas, tiene protocolos de autenticación débiles. Los investigadores dicen que cualquier persona con conocimiento de la URL del sitio web y las credenciales de inicio de sesión puede iniciar sesión. Además, hay un volcado de datos que contiene los detalles de inicio de sesión (nombre de usuario / contraseña) de todos los administradores que se ocupan del portal.

Lo que es agotador es que las contraseñas configuradas para acceder a una base de datos altamente confidencial son solo un número de cuatro dígitos! Para empeorar las cosas, ¡incluso varios administradores lo comparten! Agregar este desagradable es un directorio, que tiene cientos de archivos CSV que contienen la PII de al menos 8 millones de ciudadanos.

Los datos contienen detalles sobre el estado de COVID-19 de los ciudadanos, así como datos de contacto e historial, todos accesibles para cualquier persona sin una contraseña. Los investigadores advierten que estos datos expuestos pueden explotarse de varias formas.

Por ejemplo, una persona malintencionada puede verificar y modificar los datos del paciente, probar los resultados, intercambiar resultados entre personas.

Esto puede resultar en el envío de personas no positivas a la cuarentena e incluso al final de la cuarentena de personas con pacientes positivos antes. Teniendo en cuenta la sensibilidad de los datos, los investigadores se pusieron en contacto con el gobierno de la UP, pero no recibieron respuesta. Pero ayudaron a proteger la base de datos abierta en 10 de septiembre después de contactar con el CERT-In, El equipo nacional de respuesta a amenazas de la India.