Pemerintah India akhirnya menyelesaikan masalah keamanan siber selama bertahun-tahun yang mengungkap banyak sekali data sensitif tentang warga negaranya. Seorang peneliti keamanan secara eksklusif mengatakan kepada TechCrunch bahwa dia menemukan setidaknya ratusan dokumen yang berisi informasi pribadi warga negara – termasuk nomor Aadhaar, data vaksinasi COVID-19, dan detail paspor – tersebar secara online sehingga siapa pun dapat mengaksesnya.
Salah satu penyebabnya adalah layanan cloud pemerintah India, yang dijuluki S3WaaS, yang dianggap sebagai sistem yang “aman dan terukur” untuk membangun dan menampung situs web pemerintah India.
Peneliti keamanan Sourajeet Majumder mengatakan kepada TechCrunch bahwa dia menemukan kesalahan konfigurasi pada tahun 2022 yang memaparkan informasi pribadi warga yang disimpan di S3WaaS ke internet terbuka. Karena dokumen pribadi tersebut secara tidak sengaja dipublikasikan, mesin pencari juga mengindeks dokumen tersebut, sehingga siapa pun dapat secara aktif mencari data pribadi warga negara yang sensitif di internet.
Dengan dukungan dari organisasi hak-hak digital Internet Freedom Foundation, Majumder melaporkan kejadian tersebut kepada tim tanggap darurat komputer India, yang dikenal sebagai CERT-In, dan Pusat Informatika Nasional pemerintah India.
CERT-In dengan cepat mengetahui masalah ini, dan tautan yang berisi file sensitif dari mesin pencari publik telah dihapus.
Namun Majumder mengatakan meskipun ada peringatan berulang kali mengenai kebocoran data, layanan cloud pemerintah India masih mengungkap informasi pribadi beberapa individu pada minggu lalu.
Dengan adanya bukti paparan data pribadi yang sedang berlangsung, Majumder meminta bantuan TechCrunch untuk mengamankan data yang tersisa. Majumder mengatakan bahwa beberapa data sensitif warga mulai tersebar secara online lama setelah dia pertama kali mengungkapkan kesalahan konfigurasi tersebut pada tahun 2022.
TechCrunch melaporkan beberapa data yang terekspos ke CERT-In. Majumder mengonfirmasi bahwa file-file tersebut tidak lagi dapat diakses publik.
Ketika dihubungi sebelum publikasi, CERT-In tidak keberatan dengan rincian publikasi TechCrunch tentang kelemahan keamanan. Perwakilan Pusat Informatika Nasional dan S3WaaS tidak menanggapi permintaan komentar.
Majumder mengatakan tidak mungkin memperkirakan secara akurat sejauh mana sebenarnya kebocoran data ini, namun memperingatkan bahwa pelaku kejahatan konon menjual data tersebut di forum kejahatan dunia maya sebelum ditutup oleh otoritas AS. CERT-In tidak akan menyebutkan apakah pelaku kejahatan mengakses data yang terekspos.
Data yang terekspos, kata Majumder, berpotensi menempatkan warga negara pada risiko pencurian identitas dan penipuan.
“Lebih dari itu, ketika informasi kesehatan sensitif seperti hasil tes COVID dan catatan vaksin tersebar, bukan hanya privasi medis kita yang terganggu – hal ini juga menimbulkan ketakutan akan diskriminasi dan penolakan sosial,” katanya.
Majumder mencatat bahwa insiden ini harus menjadi “seruan untuk mengingatkan reformasi keamanan.”
