印度选举委员会已修复了其网站上的漏洞,这些漏洞暴露了与公民要求获得有关其投票资格状况、当地政治候选人和政党以及电子投票机技术细节等信息相关的数据。印度即将举行下届大选,预计在4月至5月间选出议会下院议员,并由他们组建新政府。
印度选举委员会修复了其信息权(RTI)门户网站的漏洞,该门户网站允许公民申请获取宪法机构、邦和中央政府机构以及从印度政府获得大量资金的私营组织的记录。
这些漏洞允许访问RTI申请、下载交易收据和官员共享的回复,而无需对用户登录进行适当验证。暴露的部分数据包括RTI申请日期、提出的问题、申请人姓名和邮寄地址、申请人的贫困线状况以及RTI答复。
安全研究人员KaranSaini于今年2月发现了这些漏洞,但选举委员会、印度计算机应急响应小组(CERT-In)和国家关键信息基础设施保护中心最初都没有回应他的修复请求,因此他请求TechCrunch帮助向有关部门披露这些漏洞。在CERT-In的干预下,这些漏洞已于本周早些时候得到修复。
"CERT-In一直在与相关部门协调此事。最近,CERT-In已从有关部门获悉,报告的漏洞已被修复,"印度网络安全机构周二在回复中说。该机构还向研究人员确认了修复工作。
尽管根据印度法律,信息权申请和答复并不保密,但加尔各答高等法院2014年的一项判决(PDF)命令获取信息权申请人个人资料的当局"隐藏此类信息,尤其是在其网站上隐藏此类信息,以免广大民众知晓详情"。
在默认情况下,选举委员会的RTI门户网站不允许在未登录的情况下访问个人的RTI申请和回复,这意味着外部对数据的访问和数据被剪切的能力--因为无需登录即可访问--使缺陷成为一个隐私问题。
印度选举委员会没有回应置评请求。
【查看完整讨论话题】 | 【用户登录】 | 【用户注册】