El portal de logística estatal de la India ha solucionado errores de configuración y vulnerabilidades que exponían datos personales confidenciales y varios registros comerciales estatales y privados.
Llamado Portal Nacional de Logística-Marine, el sitio web hizo públicos los datos confidenciales y privados debido a depósitos de Amazon S3 mal configurados. También llevaba un archivo JavaScript que incluía credenciales de inicio de sesión en el código fuente web.
investigador de seguridad Bob Diachenko encontró los problemas con el portal indio a través de la herramienta de seguridad de código abierto TruffleHog. Diachenko dijo a TechCrunch que los datos expuestos incluían nombres completos, nacionalidad, fecha de nacimiento, sexo, números de pasaporte, autoridad emisora de pasaportes y fecha de vencimiento que varios miembros de la tripulación de embarcaciones y barcos presentaron para su viaje. Del mismo modo, entre los datos sensibles se encontraban facturas, órdenes de envío y conocimientos de embarque.
«Las razones [for the exposure] son múltiples en este caso, y todos conducen a varios errores de configuración, desde el almacenamiento de credenciales codificadas en un archivo JavaScript hasta los depósitos públicos de S3”, dijo a TechCrunch.
El 25 de septiembre, Diachenko al corriente una captura de pantalla en X, anteriormente conocido como Twitter, que muestra uno de los archivos expuestos con información confidencial redactada. Posteriormente, el Equipo de Respuesta a Emergencias Informáticas de la India (CERT-In) y el equipo de seguridad de AWS se comunicaron con él para comprender mejor el incidente. TechCrunch también informó por separado a CERT-In sobre el asunto poco después de recibir los detalles del investigador. La agencia nodal acusó recibo de nuestra comunicación el martes y confirmó la solución el viernes.
«Con respecto al correo electrónico de seguimiento, la organización en cuestión ha confirmado que la vulnerabilidad está mitigada», dijo CERT-In al confirmar la solución.
El Ministerio de Puertos, Navegación y Vías Navegables y la empresa responsable del portal Portall, filial del conglomerado empresarial indio JM Baxi, no respondieron a múltiples solicitudes de comentarios antes de la publicación.
El Ministerio de Puertos, Navegación y Vías Navegables lanzó en enero el Portal Nacional de Logística-Marina. El proyecto tiene como objetivo funcionar como una “ventanilla única” para todos los procesos comerciales logísticos y cubre modos de transporte en vías navegables, carreteras y vías aéreas. También incluye un mercado en línea para acceder a servicios logísticos de extremo a extremo.
El incidente de exposición de datos se produce poco más de un mes después de que India, el segundo mercado de Internet más grande después de China, recibiera su anticipada ley de privacidad, la Ley de Protección de Datos Personales Digitales de 2023. La ley describe pautas para el uso de datos personales por parte de empresas privadas, pero exime al gobierno indio de obligaciones legales.