Des documents internes, des dossiers médicaux d’officiers et des dossiers personnels appartenant à la Force de sécurité industrielle centrale de l’Inde se déversaient en ligne en raison d’une faille de sécurité des données.
Un chercheur en sécurité en Inde, qui a demandé à ne pas être nommé par crainte de représailles du gouvernement indien, a trouvé une base de données remplie de journaux réseau générés par une appliance de sécurité connectée au réseau de CISF. Mais la base de données n’était pas sécurisée par un mot de passe, permettant à quiconque sur Internet d’accéder aux journaux à partir de son navigateur Web.
Les journaux du réseau contiennent des enregistrements détaillés des fichiers sur le réseau de CISF qui ont été consultés ou bloqués en raison de règles de sécurité. Étant donné que les journaux contenaient les adresses Web complètes des documents stockés sur le réseau de CISF, il était possible pour quiconque sur Internet d’accéder aux journaux, puis d’ouvrir ces fichiers dans leur navigateur directement à partir du réseau de CISF, également sans avoir besoin d’un mot de passe.
Les journaux contenaient des enregistrements pour plus de 246 000 adresses Web de documents PDF sur le réseau du CISF, dont beaucoup concernent des dossiers personnels et des dossiers de santé, et contiennent des informations personnellement identifiables sur les agents du CISF. Certains des fichiers sont datés aussi récemment que 2022.
CISF est l’une des plus grandes forces de police au monde avec plus de 160 000 personnes, chargées de protéger les installations gouvernementales, les infrastructures et la sécurité des aéroports à travers le pays.
Le chercheur a déclaré que l’appliance de sécurité est construite par Haltdos, une société de sécurité basée en Inde qui fournit une technologie de sécurité réseau aux organisations. La base de données a été découverte pour la première fois le 6 mars, selon Shodan, un moteur de recherche pour les appareils et les bases de données exposés. TechCrunch a confirmé que la base de données était configurée avec le nom « haltdos ».
Le PDG de Haltdos, Anshul Saxena, n’a pas répondu aux multiples demandes de commentaires. TechCrunch a également envoyé un e-mail à un responsable des affaires publiques du CISF avec plusieurs adresses Web de fichiers exposés publiquement stockés sur ses serveurs, mais nous n’avons pas reçu de réponse. Il n’est pas rare que des organisations gouvernementales en Inde résolvent discrètement des problèmes de sécurité lorsqu’elles sont alertées par des chercheurs en sécurité de bonne foi, puis rejettent ou nient les allégations lorsqu’elles deviennent invariablement de notoriété publique.
La base de données n’est plus accessible, bien que l’appliance de sécurité elle-même semble toujours être en ligne.
Lire la suite: