Saltar al contenido

Datos de 8 millones de indios del portal de coronavirus del gobierno presuntamente expuestos

fossbyte-technology-news

India se ha convertido en un punto de acceso para la pandemia de coronavirus, y el país es testigo de alrededor de 100.000 casos diarios.

La recopilación de datos de los pacientes con coronavirus es responsabilidad del gobierno, y parece que el gobierno estatal de Uttar Pradesh, el estado más grande de India, no ha podido salvaguardar el portal COVID-19. Como informaron los investigadores de seguridad de VPNMentor, la plataforma de vigilancia COVID-19 de Uttar Pradesh se ha visto comprometida, exponiendo así los datos personales de millones de indios para que cualquiera pueda acceder.

La plataforma, llamada "Plataforma de vigilancia Uttar Pradesh Covid-19", supuestamente construida por el gobierno regional de Uttar Pradesh, tiene numerosas vulnerabilidades que podrían poner en peligro los planes del país para controlar la propagación del virus.

Primero, el repositorio de git utilizado para almacenar datos de millones y contener el código fuente de la plataforma no estaba protegido. No se implementaron protocolos de seguridad, y cualquier persona con conocimiento de la URL de la plataforma y las credenciales del repositorio de git podría acceder a los datos.

Fuente: VPNMentor

Más importante aún, el repositorio también tenía un volcado de datos de las credenciales de inicio de sesión almacenadas en el panel de administración. El volcado de datos incluía el nombre de usuario y la contraseña utilizados para acceder al panel. Por razones éticas, los investigadores de seguridad no verificaron manualmente con las credenciales expuestas para iniciar sesión en el tablero. Sin embargo, a través de una investigación exhaustiva, el equipo confirmó que las credenciales eran válidas y podían usarse para acceder al tablero.

Además, las contraseñas de administrador eran números de cuatro dígitos y varias cuentas compartían la misma contraseña, lo que aumentaba las posibilidades de exposición ilícita si un pirata informático entraba en el portal.

En segundo lugar, los investigadores detectaron una lista de directorios de archivos CSV en un índice web expuesto que enumera todos los detalles de las pruebas de coronavirus no solo en Uttar Pradesh sino también en otras partes del país. Estos archivos CSV estaban disponibles para el público sin contraseña y tenían datos de identificación personal de más de 8 millones de personas.

Banner cuadrado de 340 x 296 de paquete javascript (1)

Una muestra de un archivo CSV que enumera casos diarios individuales y datos de PII (Fuente: VPNMentor)

Si una persona con malas intenciones logra acceder al tablero, fácilmente podría realizar las siguientes funciones:

  • Modificar los datos del paciente
  • Modificar los resultados de la prueba
  • Enviar a personas no positivas a cuarentena
  • Finalizar el período de cuarentena antes de la fecha designada
  • Cambiar los resultados de un paciente negativo a Covid-19 por un paciente positivo y viceversa

Los investigadores de seguridad han concluido que los funcionarios del gobierno pasaron por alto varios protocolos de seguridad en un apuro por desarrollar un portal para rastrear las pruebas de Coronavirus. Todavía no está claro si alguien intentó acceder a los datos expuestos, pero la cantidad de datos es colosal y, por lo tanto, podría obtener una suma razonable de dinero si alguien se apodera de ellos.

VPNMentor, junto con The Next Web, se puso en contacto con el gobierno de la UP varias veces, pero no obtuvo respuesta. Teniendo en cuenta la gravedad de la situación, se acercaron a CERT-In, el equipo de respuesta a amenazas de India. Los datos finalmente se obtuvieron el 10 de septiembre, casi un mes después de que el equipo de VPNMentor se pusiera en contacto por primera vez con la embajada de Israel en India.