La Comisión Electoral de la India ha corregido fallas en su sitio web que expusieron datos relacionados con las solicitudes de información de los ciudadanos sobre su estado de elegibilidad para votar, los candidatos políticos y partidos locales, y detalles técnicos sobre las máquinas de votación electrónica. La India se encamina hacia sus próximas elecciones generales, que se esperan entre abril y mayo, para elegir a los miembros de la cámara baja de su parlamento que formarán el nuevo gobierno.
La Comisión Electoral de la India corrigió los errores en su portal de Derecho a la Información (RTI), que permite a los ciudadanos solicitar acceso a registros de autoridades constitucionales, así como de instituciones gubernamentales estatales y centrales y organizaciones privadas que reciben fondos sustanciales del gobierno indio.
Las fallas permitían acceder a las solicitudes de RTI, descargar los recibos de transacción y las respuestas compartidas por los funcionarios sin autenticar adecuadamente las sesiones de usuario.
Algunos de los datos expuestos incluían la fecha de presentación de la RTI, las preguntas realizadas, el nombre y dirección postal del solicitante, el estatus de la línea de pobreza del solicitante y las respuestas de la RTI.
El investigador de seguridad Karan Saini encontró los errores en febrero y pidió a TechCrunch que ayudara a divulgarlos a las autoridades después de que la Comisión Electoral, el Equipo de Respuesta a Emergencias Informáticas de la India (CERT-In) y el Centro Nacional de Protección de Infraestructuras de Información Crítica no respondieran inicialmente a sus solicitudes para corregirlos. Los errores fueron corregidos a principios de esta semana tras la intervención de CERT-In.
“CERT-In ha estado coordinando el problema con la autoridad correspondiente. Recientemente, CERT-In ha sido informado por la autoridad correspondiente de que la vulnerabilidad reportada ha sido corregida”, dijo la agencia de ciberseguridad de la India en un correo electrónico enviado a TechCrunch el martes.
La agencia también confirmó la corrección al investigador.
A pesar de que las solicitudes y respuestas de RTI no son confidenciales según la ley india, una sentencia del Tribunal Superior de Kolkata en 2014 ordenó a las autoridades que ocultaran los datos personales de los solicitantes de RTI “para que la gente en general no conociera los detalles”.
Por defecto, el portal de RTI de la Comisión Electoral no proporciona acceso a solicitudes y respuestas de RTI individuales sin iniciar sesión, lo que significa que el acceso externo a los datos y su capacidad de ser extraídos -porque son accesibles sin iniciar sesión- convirtieron las fallas en un problema de privacidad.
La Comisión Electoral de la India no respondió a una solicitud de comentario.