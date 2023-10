Le portail logistique public indien a corrigé des erreurs de configuration et des vulnérabilités qui exposaient des données personnelles sensibles et divers registres commerciaux publics et privés.

Appelé le Portail Logistique National-Marine, le site Web a rendu publiques les données sensibles et privées en raison de compartiments Amazon S3 mal configurés. Il contenait également un fichier JavaScript contenant les informations de connexion dans le code source Web.

Chercheur en sécurité Bob Diatchenko a trouvé les problèmes avec le portail indien grâce à l’outil de sécurité open source TruffleHog. Diachenko a déclaré à TechCrunch que les données exposées comprenaient les noms complets, la nationalité, la date de naissance, le sexe, les numéros de passeport, l’autorité de délivrance du passeport et la date d’expiration que divers membres d’équipage de navires et de navires ont soumis pour leur voyage. De même, il y avait des factures, des ordres d’expédition et des connaissements de chargement, parmi les informations sensibles.

« Les raisons [for the exposure] sont multiples dans ce cas – tous conduisant à diverses erreurs de configuration, depuis le stockage des informations d’identification codées en dur dans un fichier JavaScript jusqu’aux compartiments S3 publics », a-t-il déclaré à TechCrunch.

Le 25 septembre, Diachenko posté une capture d’écran sur X, anciennement connu sous le nom de Twitter, montrant l’un des fichiers exposés contenant des informations sensibles expurgées. Par la suite, il a été contacté par l’équipe indienne d’intervention d’urgence informatique (CERT-In) et l’équipe de sécurité d’AWS pour mieux comprendre l’incident. TechCrunch a également informé séparément CERT-In de l’affaire peu de temps après avoir obtenu les détails du chercheur. L’agence nodale a accusé réception de notre communication mardi et a confirmé le correctif vendredi.

« En ce qui concerne l’e-mail final, l’organisation concernée a confirmé que la vulnérabilité est atténuée », a déclaré CERT-In en confirmant le correctif.

Le ministère des ports, de la marine marchande et des voies navigables et la société responsable du portail Portailune filiale du conglomérat commercial indien JM Baxi, n’a pas répondu aux multiples demandes de commentaires avant la publication.

Le ministère des ports, de la marine marchande et des voies navigables lancé le Portail Logistique National-Marine en janvier. Le projet vise à fonctionner comme un « guichet unique » pour tous les processus commerciaux logistiques et couvre les modes de transport par voies navigables, routières et aériennes. Il comprend également une place de marché en ligne pour accéder aux services logistiques de bout en bout.

L’incident d’exposition de données survient un peu plus d’un mois après que l’Inde, le deuxième marché Internet après la Chine, ait reçu son loi anticipée sur la protection de la vie privéela loi sur la protection des données personnelles numériques, 2023. La loi expose les lignes directrices pour l’utilisation des données personnelles par les entreprises privées, mais exempte le gouvernement indien des obligations légales.