印度选举委员会修复暴露公民信息搜索数据的隐私漏洞

2024年03月08日 13:50 次阅读 稿源:cnBeta.COM 条评论

印度选举委员会已修复了其网站上的漏洞,这些漏洞暴露了与公民要求获得有关其投票资格状况、当地政治候选人和政党以及电子投票机技术细节等信息相关的数据。印度即将举行下届大选,预计在 4 月至 5 月间选出议会下院议员,并由他们组建新政府。

Right-to-Information-Act-2005-.jpg

印度选举委员会修复了其信息权(RTI)门户网站的漏洞,该门户网站允许公民申请获取宪法机构、邦和中央政府机构以及从印度政府获得大量资金的私营组织的记录。

这些漏洞允许访问 RTI 申请、下载交易收据和官员共享的回复,而无需对用户登录进行适当验证。暴露的部分数据包括 RTI 申请日期、提出的问题、申请人姓名和邮寄地址、申请人的贫困线状况以及 RTI 答复。

安全研究人员 Karan Saini 于今年 2 月发现了这些漏洞,但选举委员会、印度计算机应急响应小组(CERT-In)和国家关键信息基础设施保护中心最初都没有回应他的修复请求,因此他请求 TechCrunch 帮助向有关部门披露这些漏洞。在 CERT-In 的干预下,这些漏洞已于本周早些时候得到修复。

"CERT-In一直在与相关部门协调此事。最近,CERT-In 已从有关部门获悉,报告的漏洞已被修复,"印度网络安全机构周二在回复中说。该机构还向研究人员确认了修复工作。

尽管根据印度法律,信息权申请和答复并不保密,但加尔各答高等法院 2014 年的一项判决(PDF)命令获取信息权申请人个人资料的当局"隐藏此类信息,尤其是在其网站上隐藏此类信息,以免广大民众知晓详情"。

在默认情况下,选举委员会的 RTI 门户网站不允许在未登录的情况下访问个人的 RTI 申请和回复,这意味着外部对数据的访问和数据被剪切的能力--因为无需登录即可访问--使缺陷成为一个隐私问题。

印度选举委员会没有回应置评请求。

对文章打分

印度选举委员会修复暴露公民信息搜索数据的隐私漏洞

1 (50%)
已有 条意见

    最新资讯

    加载中...

    编辑精选

    加载中...

    热门评论

      Top 10

      招聘

      created by ceallan