印度选举委员会修复暴露公民信息搜索数据的隐私漏洞

印度选举委员会已修复了其网站上的漏洞，这些漏洞暴露了与公民要求获得有关其投票资格状况、当地政治候选人和政党以及电子投票机技术细节等信息相关的数据。印度即将举行下届大选，预计在4月至5月间选出议会下院议员，并由他们组建新政府。

印度选举委员会修复了其信息权（RTI）门户网站的漏洞，该门户网站允许公民申请获取宪法机构、邦和中央政府机构以及从印度政府获得大量资金的私营组织的记录。

这些漏洞允许访问RTI申请、下载交易收据和官员共享的回复，而无需对用户登录进行适当验证。暴露的部分数据包括RTI申请日期、提出的问题、申请人姓名和邮寄地址、申请人的贫困线状况以及RTI答复。

安全研究人员KaranSaini于今年2月发现了这些漏洞，但选举委员会、印度计算机应急响应小组（CERT-In）和国家关键信息基础设施保护中心最初都没有回应他的修复请求，因此他请求TechCrunch帮助向有关部门披露这些漏洞。在CERT-In的干预下，这些漏洞已于本周早些时候得到修复。

"CERT-In一直在与相关部门协调此事。最近，CERT-In已从有关部门获悉，报告的漏洞已被修复，"印度网络安全机构周二在回复中说。该机构还向研究人员确认了修复工作。

尽管根据印度法律，信息权申请和答复并不保密，但加尔各答高等法院2014年的一项判决（PDF）命令获取信息权申请人个人资料的当局"隐藏此类信息，尤其是在其网站上隐藏此类信息，以免广大民众知晓详情"。

在默认情况下，选举委员会的RTI门户网站不允许在未登录的情况下访问个人的RTI申请和回复，这意味着外部对数据的访问和数据被剪切的能力--因为无需登录即可访问--使缺陷成为一个隐私问题。

印度选举委员会没有回应置评请求。