El portal de logística estatal de la India ha solucionado errores de configuración y vulnerabilidades que exponían datos personales confidenciales y varios registros comerciales estatales y privados.
Llamó al Portal Nacional Logístico-Marítimo, el sitio hizo públicos datos confidenciales y privados debido a depósitos de Amazon S3 configurados incorrectamente. También cargó un archivo JavaScript que incluía credenciales de inicio de sesión en el código fuente web.
investigador de seguridad Bob Diachenko encontró los problemas con el portal indio a través de la herramienta de seguridad de código abierto TruffleHog. Diachenko dijo a TechCrunch que los datos expuestos incluían nombres completos, nacionalidad, fecha de nacimiento, sexo, números de pasaporte, autoridad emisora de pasaportes y fecha de vencimiento que varios barcos y tripulaciones presentaron para sus viajes. Asimismo, se encontraban facturas, órdenes de embarque y conocimientos de embarque, entre información sensible.
«Las razones [for the exposure] hay múltiples en este caso, todos conducen a varias configuraciones erróneas, comenzando con el almacenamiento de credenciales codificadas en un archivo JavaScript y hasta depósitos públicos de S3”, dijo a TechCrunch.
El 25 de septiembre, Diachenko al corriente una captura de pantalla en X, anteriormente conocido como Twitter, que muestra uno de los archivos expuestos con información confidencial redactada. Posteriormente, el Equipo de Respuesta a Emergencias Informáticas de la India (CERT-In) y el equipo de seguridad de AWS se comunicaron con él para comprender mejor el incidente. TechCrunch también informó por separado a CERT-In sobre el asunto poco después de obtener los detalles del investigador. La agencia nodal acusó recibo de nuestra comunicación el martes y confirmó la corrección el viernes.
«Con respecto al correo electrónico de seguimiento, la organización en cuestión ha confirmado que la vulnerabilidad ha sido mitigada», dijo CERT-In al confirmar la solución.
El Ministerio de Puertos, Navegación y Vías Navegables y la empresa responsable del portal Portaluna filial del conglomerado empresarial indio JM Baxi, no respondió a múltiples solicitudes de comentarios antes de su publicación.
El Ministerio de Puertos, Navegación y Vías Navegables liberado el Portal Nacional de Logística Marítima en enero. El proyecto pretende funcionar como una “ventanilla única” para todos los procesos de logística comercial y cubre modos de transporte en los sectores fluvial, carretero y aéreo. También incluye un mercado en línea para acceder a servicios de logística de extremo a extremo.
El incidente de exposición de datos se produce poco más de un mes después de que India, el segundo mercado de Internet más grande después de China, recibiera su anticipada ley de privacidad, la Ley de Protección de Datos Personales Digitales de 2023. La ley describe pautas para el uso de datos personales por parte de empresas privadas. pero exime al gobierno indio de obligaciones legales.
