Le gouvernement d’un État indien a résolu des problèmes de sécurité affectant son site Web qui exposaient les documents sensibles et les informations personnelles de millions de résidents.
Les bugs existaient sur le site Web du gouvernement du Rajasthan liés à Jan Aadhaar, un programme d’État visant à fournir un identifiant unique aux familles et aux individus de l’État pour accéder aux programmes de protection sociale. Les bugs ont exposé les copies des cartes Aadhaar, les certificats de naissance et de mariage, les factures d’électricité et les déclarations de revenus liés aux inscrits, ainsi que des informations personnelles telles que leur date de naissance, leur sexe et le nom de leur père.
Le chercheur en sécurité Viktor Markopoulos, travaillant pour la société de cybersécurité CloudDefense.ai, a découvert les bogues sur le portail Jan Aadhaar en décembre et a demandé l’aide de TechCrunch pour les divulguer aux autorités.
Les bugs ont été corrigés la semaine dernière grâce à une intervention de l’Indian Computer Emergency Response Team, ou CERT-In.
L’un des bugs permettait à quiconque d’accéder à des documents et informations personnels en connaissant le numéro de téléphone d’un inscrit.
L’autre bug permettait la restitution de données sensibles car le serveur ne vérifiait pas correctement la validité des mots de passe à usage unique, a expliqué le chercheur.
TechCrunch a contacté l’autorité Jan Aadhaar du gouvernement du Rajasthan le 22 décembre et a effectué un suivi une semaine plus tard, mais n’a pas reçu de réponse. TechCrunch a ensuite partagé les détails du bug avec CERT-In, qui a confirmé jeudi que les bugs avaient été corrigés.
« Il s’agit de vous informer que nous avons reçu une réponse de l’autorité concernée indiquant que la vulnérabilité signalée a été corrigée », a déclaré l’agence à TechCrunch. Le chercheur a également confirmé le correctif.
TechCrunch a de nouveau contacté le gouvernement du Rajasthan pour obtenir ses commentaires avant la publication, mais nous n’avons pas eu de réponse.
Le portail Jan Aadhaar de l’État, lancé en 2019, indique qu’il compte plus de 78 millions d’inscrits individuels et 20 millions de familles. Le portail vise à offrir « Un numéro, une carte, une identité » aux résidents de l’État du Rajasthan, dans le nord du pays, pour accéder aux programmes de protection sociale du gouvernement de l’État. Cela contraste avec la carte Aadhaar ordinaire, disponible pour l’inscription pour les personnes éligibles dans toute l’Inde et fournie par l’Autorité d’identification unique soutenue par le gouvernement central, ou UIDAI.