印度政府修復網站漏洞,保護居民敏感檔案
問題發現
印度拉賈斯坦邦政府的一個網站存在安全漏洞,導致數百萬居民的敏感檔案和個人訊息曝光。這些漏洞存在於拉賈斯坦邦政府網站中與“Jan Aadhaar”(一項旨在為邦內家庭和個人提供單一身份證實以便獲取福利計劃的計劃)相關的部分。漏洞曝露了 Aadhaar 卡、出生和結婚證書、電費單和與登記人相關的收入證實以及個人訊息,如出生日期、性別和父親姓名。安全研究
安全研究人員 Viktor Markopoulos 在去年十二月發現了這些漏洞,並請求科技媒體公司 TechCrunch 幫助向相關部門揭露。這些漏洞於上週透過印度電腦應急反應小組(CERT-In)的介入得到修復。其中一個漏洞允許任何人在知道登記人的電話號碼的情況下存取其個人檔案和訊息。另一個漏洞則允許由於伺服器未正確檢查一次性密碼的有效性而返回敏感資料。官方回應
TechCrunch 在十二月 22 日聯絡了拉賈斯坦邦政府的 Jan Aadhaar 機構,並在一周後進行了跟進,但沒有得到回應。TechCrunch 隨後與 CERT-In 分享了漏洞的詳細訊息,後者於上週四證實漏洞已經修復。但至今尚未收到拉賈斯坦邦政府對此事的回應。Jan Aadhaar 計畫
拉賈斯坦邦政府的 Jan Aadhaar 網站於 2019 年啟動,聲稱有超過 7800 萬的個人登記和 2000 萬家庭。這個計劃旨在為拉賈斯坦邦的居民提供“一個號碼,一張卡,一個身份”的便利,方便其存取邦內政府的福利計劃。這與印度中央政府支援的 Unique Identification Authority(UIDAI)提供的常規 Aadhaar 卡形成對比。意見與建議
安全重要性
這一事件凸顯了數位安全對於公共機構和政府來說是至關重要的。就個人隱私和機密檔案的泄露而言,這樣的漏洞可能對居民造成嚴重的困擾和風險。透明公開
當安全漏洞被發現時,政府應該採取積極的、透明的態度來解決問題,並迅速向公眾和相關研究人員披露訊息。這有助於增加透明度,讓公眾對於政府機構的處理能力和責任感有更多信心。數位安全意識
除了積極應對和解決漏洞,政府應該加固培訓和加固對數位安全的投入,包括更嚴格的檢查和監控系統。此外對於民眾來說也應加固個人數位安全意識的宣導和教育,以更好地保護自己的個人訊息和資料。 這次漏洞的及時修復雖然是一個積極的跨步,但相關政府應該從中汲取教訓,並加固對數位安全的重視和執行力度。Cybersecurity-印度政府,網站漏洞修復,敏感檔案保護,政府安全,印度數位安全
