قامت البوابة اللوجستية المملوكة للدولة في الهند بإصلاح التكوينات الخاطئة ونقاط الضعف التي كشفت البيانات الشخصية الحساسة والعديد من السجلات التجارية الحكومية والخاصة.
يُطلق على الموقع اسم National Logistics Portal-Marine، وقد جعل البيانات الحساسة والخاصة عامة بسبب تكوين حاويات Amazon S3 بشكل خاطئ. كما أنه يحمل أيضًا ملف JavaScript يتضمن بيانات اعتماد تسجيل الدخول في كود مصدر الويب.
باحث أمني بوب دياتشينكو عثرت على المشكلات المتعلقة بالبوابة الهندية من خلال أداة الأمان مفتوحة المصدر TruffleHog. أخبر دياتشينكو موقع TechCrunch أن البيانات المكشوفة تضمنت الأسماء الكاملة والجنسية وتاريخ الميلاد والجنس وأرقام جواز السفر وسلطة إصدار جواز السفر وتاريخ انتهاء الصلاحية التي قدمها مختلف أفراد طاقم السفن والسفن لسفرهم. وبالمثل، كانت هناك فواتير وأوامر شحن وفواتير تحميل، بين المعلومات الحساسة.
“الأسباب [for the exposure] متعددة في هذه الحالة – تؤدي جميعها إلى تكوينات خاطئة مختلفة، بدءًا من تخزين بيانات الاعتماد المشفرة في ملف JavaScript وحتى مجموعات S3 العامة،” قال لـ TechCrunch.
في 25 سبتمبر دياتشينكو نشر لقطة شاشة على موقع X، المعروف سابقًا باسم Twitter، تُظهر أحد الملفات المكشوفة مع معلومات حساسة منقحة. وبعد ذلك، اتصل به فريق الاستجابة لطوارئ الكمبيوتر الهندي (CERT-In) وفريق أمان AWS لفهم الحادث بشكل أفضل. كما أبلغت TechCrunch أيضًا CERT-In بشكل منفصل بهذا الأمر بعد وقت قصير من الحصول على التفاصيل من الباحث. أقرت الوكالة العقدية باستلام اتصالاتنا يوم الثلاثاء وأكدت الإصلاح يوم الجمعة.
وقال CERT-In أثناء تأكيد الإصلاح: “فيما يتعلق بالبريد الإلكتروني اللاحق، أكدت المنظمة المعنية أنه تم تخفيف الثغرة الأمنية”.
ولم تستجب وزارة الموانئ والشحن والممرات المائية والشركة المسؤولة عن البوابة Portall، وهي شركة تابعة لمجموعة الأعمال الهندية JM Baxi، لطلبات متعددة للتعليق قبل النشر.
أطلقت وزارة الموانئ والشحن والممرات المائية البوابة الوطنية للوجستيات البحرية في يناير. ويهدف المشروع إلى العمل بمثابة “نافذة واحدة” لجميع العمليات التجارية اللوجستية ويغطي وسائط النقل في الممرات المائية والطرق والطرق الجوية. ويتضمن أيضًا سوقًا عبر الإنترنت للوصول إلى الخدمات اللوجستية الشاملة.
تأتي حادثة التعرض للبيانات بعد ما يزيد قليلاً عن شهر من حصول الهند، ثاني أكبر سوق للإنترنت بعد الصين، على قانون الخصوصية المتوقع، قانون حماية البيانات الشخصية الرقمية لعام 2023. ويحدد القانون المبادئ التوجيهية لاستخدام الشركات الخاصة للبيانات الشخصية، ولكن يعفي الحكومة الهندية من الالتزامات القانونية.