A Comissão Eleitoral da Índia tomou medidas para corrigir falhas em seu site que expuseram dados relacionados a pedidos de informação de cidadãos sobre seu status de elegibilidade para votar, candidatos e partidos políticos locais, além de detalhes técnicos sobre urnas eletrônicas. A Índia está se preparando para suas próximas eleições gerais, agendadas para abril e maio, para eleger membros da câmara baixa do parlamento, que formarão o novo governo.
Os erros foram identificados no portal de Direito à Informação (RTI) da Comissão Eleitoral, que permite aos cidadãos solicitar acesso a registros de autoridades constitucionais, instituições governamentais estaduais e centrais, e organizações privadas que recebem fundos substanciais do governo indiano.
As vulnerabilidades permitiram acesso às solicitações de RTI, download de recibos de transações e respostas compartilhadas pelos funcionários sem autenticar adequadamente os logins dos usuários. Dados expostos incluíam a data de depósito do RTI, perguntas feitas, nome e endereço do requerente, situação do limiar de pobreza do requerente e respostas do RTI.
Karan Saini, pesquisador de segurança, descobriu as falhas em fevereiro e buscou a ajuda do TechCrunch para divulgá-las às autoridades, já que a Comissão Eleitoral, a Equipe Indiana de Resposta a Emergências de Computadores (CERT-In) e o Centro Nacional de Proteção de Infraestrutura de Informações Críticas não responderam inicialmente aos pedidos para corrigi-las. Os bugs foram corrigidos no início desta semana após a intervenção do CERT-In.
O CERT-In confirmou que a vulnerabilidade relatada foi corrigida, conforme declarado em um e-mail enviado ao TechCrunch na terça-feira. Apesar de os pedidos e respostas de RTI não serem confidenciais segundo a lei indiana, uma sentença do Tribunal Superior de Calcutá em 2014 ordenou que autoridades ocultassem informações pessoais dos requerentes de RTI em seus sites.
O portal RTI da Comissão Eleitoral normalmente não fornece acesso a aplicativos e respostas individuais de RTI sem login, tornando as falhas uma questão de privacidade devido ao acesso externo aos dados e à capacidade de copiá-los sem autenticação.
Até o momento, a Comissão Eleitoral da Índia não emitiu comentários sobre o assunto.
