La comisión electoral federal de la India ha corregido fallas en su sitio web que exponían datos relacionados con las solicitudes de información de los ciudadanos sobre su estado de elegibilidad para votar, candidatos y partidos políticos locales y detalles técnicos sobre las máquinas de votación electrónica. India se encamina a sus próximas elecciones generales, previstas entre abril y mayo, para elegir a los miembros de la cámara baja de su parlamento que formarán el nuevo gobierno.
La Comisión Electoral de la India corrigió los errores en su portal Derecho a la Información (RTI), que permite a los ciudadanos solicitar acceso a los registros de las autoridades constitucionales, así como a las instituciones del gobierno estatal y central y a las organizaciones privadas que reciben fondos sustanciales del gobierno indio.
Los errores permitieron el acceso a las solicitudes de RTI, descargar recibos de transacciones y respuestas compartidas por los funcionarios sin autenticar adecuadamente los inicios de sesión de los usuarios.
Algunos de los datos expuestos incluyeron la fecha de presentación de RTI, las preguntas formuladas, el nombre y la dirección postal del solicitante, el estado del umbral de pobreza del solicitante y las respuestas de RTI.
El investigador de seguridad Karan Saini encontró los errores en febrero y pidió a TechCrunch que le ayudara a revelarlos a las autoridades después de que la Comisión Electoral, el Equipo de Respuesta a Emergencias Informáticas de la India (CERT-In) y el Centro Nacional de Protección de Infraestructura de Información Crítica no respondieran inicialmente a sus errores. solicitudes para arreglarlos. Los errores se solucionaron a principios de esta semana tras la intervención de CERT-In.
“CERT-In ha estado coordinando el asunto con la autoridad interesada. Recientemente, la autoridad competente informó a CERT-In que la vulnerabilidad reportada ha sido solucionada”, dijo la agencia de ciberseguridad de la India en un correo electrónico a TechCrunch el martes.
La agencia también confirmó la solución al investigador.
Aunque las solicitudes y respuestas de RTI no son confidenciales según la ley india, una sentencia (PDF) del Tribunal Superior de Kolkata en 2014 ordenó a las autoridades que tomaban los datos personales de los solicitantes de RTI «ocultar dicha información y particularmente de su sitio web para que la gente en general pueda acceder a ellos». No conozco los detalles”.
De forma predeterminada, el portal RTI de la Comisión Electoral no brinda acceso a aplicaciones y respuestas individuales de RTI sin iniciar sesión, lo que significa que el acceso externo a los datos y su capacidad de ser eliminados (porque es accesible sin iniciar sesión) convirtió las fallas en un problema de privacidad. .
La Comisión Electoral de la India no respondió a una solicitud de comentarios.