インド中央産業保安部隊の内部文書、職員の健康記録、人事ファイルが、データセキュリティの不備によりオンラインで流出した。
インド政府からの報復を恐れて匿名を条件に取材に応じたインドのセキュリティ研究者は、CISFのネットワークに接続されたセキュリティ機器によって生成されたネットワークログが詰め込まれたデータベースを発見した。しかし、このデータベースはパスワードで保護されておらず、インターネット上の誰もがウェブブラウザからログにアクセスできてしまう状態だった。
ネットワークログには、CISFネットワーク上のどのファイルがアクセスされたか、あるいはセキュリティルールによってブロックされたかの詳細な記録が含まれています。ログにはCISFネットワーク上に保存されている文書の完全なウェブアドレスが含まれていたため、インターネット上の誰でもログにアクセスし、パスワードを必要とせずにCISFネットワークから直接ブラウザでファイルを開くことができました。
ログには、CISFネットワーク上のPDF文書のウェブアドレス24万6000件以上が記録されており、その多くは人事ファイルや健康記録に関するもので、CISF職員の個人情報が含まれています。一部のファイルは2022年という最新の日付が付けられています。
CISFは16万人以上の人員を擁する世界最大級の警察組織の一つで、全国の政府施設、インフラ、空港の安全を守る任務を負っている。
研究者によると、このセキュリティアプライアンスは、組織にネットワークセキュリティ技術を提供するインドに拠点を置くセキュリティ企業Haltdosによって開発されたという。データベースが最初に公開されたのは3月6日で、公開されたデバイスとデータベースを検索する検索エンジンShodanによって確認された。TechCrunchは、データベースが「haltdos」という名前で設定されていることを確認した。
HaltdosのCEO、アンシュル・サクセナ氏は、複数回のコメント要請に応じなかった。TechCrunchはCISFの広報担当者にもメールを送り、CISFのサーバー上に保存されている公開ファイルのウェブアドレスをいくつか提供したが、返答はなかった。インド政府機関が、善意のセキュリティ研究者からセキュリティ問題の警告を受けた際にはひっそりと修正する一方で、それが公になると必ずと言っていいほどその主張を否定したり、反駁したりすることは珍しくない。
テッククランチイベント
サンフランシスコ | 2025年10月27日~29日
データベースとセキュリティアプライアンスは現在オンラインではありません。記事掲載後にTechCrunchに送られたメールの中で、ハルトドス氏はこの不具合を「深刻なセキュリティインシデント」と表現しました。
編集者注: Haltdos 氏のコメントを反映して更新しました。
続きを読む:
- 数十万のプライベートな電話データを流出させるストーカーウェアネットワークの背後にある
- インド、サイバーセキュリティの懸念からさらに43の中国製アプリを禁止
- 英国外務省、サイバーインシデント発生後「緊急支援」要請
- TechCrunch+: なぜサイバーセキュリティ資産管理のスタートアップが今こんなに注目されているのでしょうか?
トピック
最高経営責任者、コンピュータセキュリティ、コンピューティング、暗号化、サイバー戦争、データ保護、データセキュリティ、データベース、インド、マルウェア、 PDF 、検索エンジン、セキュリティ
ザック・ウィテカーはTechCrunchのセキュリティエディターです。彼はまた、毎週のサイバーセキュリティニュースレター「今週のセキュリティ」の執筆者でもあります。
Signalのzackwhittaker.1337宛ての暗号化メッセージで連絡を取ることができます。また、メールで連絡を取るか、確認したい場合は[email protected]までご連絡ください。
バイオを見る
