La herramienta de vigilancia COVID-19 aparentemente utilizada en Uttar Pradesh expuso datos de más de 80 pacientes

Una herramienta de vigilancia COVID-19 que aparentemente fue construida por el gobierno del estado de Uttar Pradesh puso en riesgo los datos de 80 lakh de ciudadanos, según un informe. Se descubrió que la herramienta tenía numerosas vulnerabilidades que exponían datos de información personal identificable que incluían nombres completos, edades, géneros, direcciones de residentes y números de teléfono de cada individuo que fue examinado para COVID-19 en el estado más grande del país y sus otras partes, según los investigadores. La brecha de datos se aseguró el 10 de septiembre, más de un mes después de que se notara por primera vez.

Los investigadores del proveedor de servicios de redes privadas virtuales (VPN) VPNMentor notaron la brecha de datos a través de la herramienta llamada “Plataforma de Vigilancia de Uttar Pradesh COVID-19” el 1 de agosto. La plataforma de vigilancia se vio comprometida por varias vulnerabilidades y todas ellas apuntaban a una grave falta de seguridad, según señalaron los investigadores en una entrada de blog.

La primera vulnerabilidad se encontró en un repositorio git no seguro que contenía un “volcado de datos” de credenciales de inicio de sesión almacenadas, incluidos nombres de usuario y contraseñas de cuentas de administrador en la plataforma. Basándose en el descubrimiento inicial, los analistas de VPNMentor Noam Rotem y Ran Locar descubrieron un índice Web expuesto que contenía un listado de directorios de archivos CSV. Esos archivos enumeraban todos los casos conocidos de pruebas de COVID-19 en Uttar Pradesh y otras partes de la India, alcanzando la cantidad de más de 80 lakh de personas. Había datos como nombres completos, direcciones y números de teléfono junto con los resultados de las pruebas de las personas.

El índice de la Web también incluía los datos de ciudadanos no indios y residentes extranjeros. Además, había listas que contenían la información sobre muchos trabajadores de la salud, según el descubrimiento.

Los investigadores mencionaron en la entrada del blog que el índice de la Web era accesible sin ninguna contraseña y estaba completamente abierto al público.

“Si bien el listado del directorio no tuvo un impacto directo en la plataforma de vigilancia de Uttar Pradesh, comprometió gravemente la seguridad de los millones de personas que figuran en los archivos CSV, cuyos datos probablemente se originaron en la plataforma de vigilancia y otras fuentes”, dijeron los investigadores.

Después de recoger los detalles del descubrimiento, los investigadores presentaron el informe para compartirlo con el gobierno indio. El informe fue remitido al Equipo de Respuesta a Emergencias Informáticas CERT-In del país el 27 de agosto. El equipo de investigadores también llegó al departamento de cibercrimen de la UP, aunque no respondió. El 7 de septiembre, el CERT-In fue contactado nuevamente por los investigadores que eventualmente ayudaron a solucionar los problemas, según la entrada del blog.

“Tales acciones maliciosas tendrían muchas consecuencias en el mundo real sobre la eficacia de la respuesta y la acción de Uttar Pradesh contra el coronavirus, lo que podría causar trastornos extremos y caos”, señalaron los investigadores.

No se dispone de información sobre si alguno de los datos expuestos fue comprometido por un atacante. Sin embargo, los investigadores de VPNMentor creen que el efecto de las vulnerabilidades de la herramienta de vigilancia podría sentirse mucho más allá de las autoridades que trabajan en el socorro de COVID-19 en Uttar Pradesh.