India se ha convertido en un punto alto de pandemia de
coronavirus, el país es testigo de alrededor de 100.000 casos diarios.
La recopilación de datos de los pacientes con coronavirus es
responsabilidad del gobierno, y parece que el gobierno estatal de Uttar
Pradesh, el estado más grande de India no ha pudo salvaguardar el portal
COVID-19. Como informaron los investigadores de seguridad de VPNMentor, la
plataforma de vigilancia COVID-19 de Uttar Pradesh fue comprometida, exponiendo
así los datos personales de millones de indios para que cualquiera pueda
acceder.
La plataforma, llamada “Plataforma de vigilancia Uttar
Pradesh Covid-19”, supuestamente construida por el gobierno regional de
Uttar Pradesh, tiene numerosas vulnerabilidades que podrían poner en peligro
los planes del país para controlar la propagación del virus.
(adsbygoogle = window.adsbygoogle || []).push({});
Primero, el repositorio de git utilizado para almacenar
datos de millones y contener el código fuente de la plataforma no estaba
protegido. No se implementaron protocolos de seguridad y cualquier persona con
conocimiento de la URL de la plataforma y las credenciales del repositorio de
git podrían acceder a los datos.
Más importante aún, el repositorio también tenía un volcado
de datos de las credenciales de inicio de sesión almacenadas en el panel de
administración. El volcado de datos incluía el nombre de usuario y la
contraseña utilizados para acceder al panel. Por motivos éticos, los
investigadores de seguridad no comprobaron manualmente con las credenciales
expuestas para iniciar sesión en el panel. Sin embargo, a través de una
investigación exhaustiva, el equipo confirmó que las credenciales eran válidas
y podían usarse para acceder al tablero.
Además, las contraseñas de administrador eran números de
cuatro dígitos y varias cuentas compartían la misma contraseña, lo que
aumentaba las posibilidades de exposición ilícita si un hacker entraba en el
portal.
En segundo lugar, los investigadores detectaron una lista de
directorios de archivos CSV en un índice web expuesto que enumeraba todos los
detalles de las pruebas de coronavirus no solo en Uttar Pradesh sino también en
otras partes del país. Estos archivos CSV estaban disponibles para el público
sin contraseña y tenían datos de identificación personal de más de 8 millones
de personas.
Si una persona con malas intenciones lograba acceder al
tablero, fácilmente podría realizar las siguientes funciones:
- Modificar los datos del paciente
- Enviar a personas no positivas a cuarentena
- Finalizar el período de cuarentena antes de la fecha
designada - Cambiar los resultados de un paciente negativo a Covid-19
por un paciente positivo y viceversa
(adsbygoogle = window.adsbygoogle || []).push({});
Los investigadores de seguridad han concluido que los
funcionarios del gobierno pasaron por alto varios protocolos de seguridad en un
apuro por desarrollar un portal para rastrear las pruebas de coronavirus.
Todavía no está claro si alguien intentó acceder a los datos expuestos, pero la
cantidad de datos es colosal y, por lo tanto, podría obtener una suma razonable
de dinero si alguien se apodera de ellos.
Fuente: VPNMentor
