印度國家物流門戶曝光敏感個人資料、貿易記錄
印度國家物流門戶日前因為配置錯誤和漏洞問題,曝光了敏感個人資料和各種國家及私人貿易記錄。這個網站名為「國家物流門戶-海運」,由於 Amazon S3 儲存桶的配置不正確,敏感和私人資料被公開。此外該網站中的 JavaScript 檔案包含了登入憑證。
安全研究人員鮑勃·德亞琴科(Bob Diachenko)透過開源安全工具 TruffleHog 發現了這個印度門戶的問題。他告訴 TechCrunch,曝光的資料包括各種船隻成員為了旅行所提交的全名、國籍、出生日期、性別、護照號碼、護照發行機關和有效期。同樣地,還有發票、航運訂單和提貨單等敏感資訊。
他告訴 TechCrunch:“這次曝光的原因有很多,都源於不同的設定錯誤,從將硬編碼的憑證儲存在 JavaScript 檔案中,到公開的 S3 儲存桶。”
9 月 25 日,德亞琴科在 X(以前稱為 Twitter)上發布了一個截圖,其中一個曝光的檔案對敏感資訊進行了遮蓋。隨後,印度電腦緊急響應團隊(CERT-In)和 AWS 的安全團隊聯絡他,以更好地理解該事件。TechCrunch 在從這位研究人員得到詳細資料後,也單獨通知了 CERT-In。這個負責應對這一問題的機構在週二回應我們的通訊時承認收到了我們的通知,並在週五確認了問題的修復。
截至發稿前,負責運營這個門戶的印度港口、航運和水運部以及 JM Baxi 集團的子公司 Portall 對於對此事的多次置評請求未予回應。印度港口、航運和水運部在一月份推出了國家物流門戶-海運專案,旨在建立一個「單一視窗」來處理所有物流貿易流程,涵蓋水路、公路和航空的運輸方式。該專案還包括一個線上市場,以提供端到端的物流服務。
這次資料洩露事件發生在印度成為繼中國之後的第二大網際網路市場僅一個多月之後。印度最近透過了期待已久的《2023 數位個人資料保護法》,該法案為私人公司使用個人資料制定了指導方針,但印度政府免除了法律義務。
觀點與建議
這次印度國家物流門戶的資料洩露事件再次凸顯了資料安全的重要性。無論是國家機構還是企業,都必須高度重視和保護敏感個人資料和貿易記錄。為了確保資料的安全,我們應該採取以下措施:
1. 加固安全意識教育
給員工和使用者提供定期的安全意識培訓非常重要。他們需要理解敏感資料的價值和保護它們的方法。這包括使用強大的密碼,定期更換密碼,不共享登入憑證以及識別和報告可能的安全漏洞。
2. 建立嚴格的安全測試程式
組織應該建立嚴格的安全測試程式,包括對系統和應用進行定期的漏洞掃描和滲透測試。這有助於發現和修復安全漏洞,防止敏感資料的外洩。
3. 遵守資料保護法律法規
組織應該遵守本地和國際的資料保護法律法規,確保個人資料的合法使用和保護。這包括定期審查和更新資料保護政策,並確保資料處理遵守相關法規。
藉著這次事件,印度政府應該反思資料保護法律的不足之處,並進一步加固監管和執法力度,以確保個人資料的安全和隱私。
