Im April entdeckte Sushant Bhardwaj nach eigenen Angaben, dass die Zugriffskontrollen zweier Verzeichnisse der Regierung von Delhi nicht auf Serverebene erzwungen wurden. Nutzer bekamen zwar offenbar eine Meldung über verweigerten Zugriff angezeigt, konnten die Sperre aber umgehen. Bhardwaj gelangte ohne Authentifizierung in die Verzeichnisse. Weil die Dateien dort vorhersagbaren Namensmustern folgten, ließ sich über Veränderungen an der aufgerufenen URL auf weitere Inhalte zugreifen.

Dadurch wurden laut Quelltext Einschreibedaten von Schülern offengelegt, darunter Namen, Namen der Eltern und Schuldetails. Hinzu kamen Prüfungsergebnisse sowie Personaldaten von Beschäftigten. Die Reichweite ist erheblich: Knapp zwei Millionen Schüler besuchen Schulen unter Aufsicht der Directorate of Education in Delhi.

Ein weiteres Problem betraf ein separates IT-Portal der Regierung von Delhi für Stipendien. Dort führten erneut fehlende Authentifizierung und vorhersagbare Dateistrukturen dazu, dass 4.399 Datensätze im Netz einsehbar waren. Offengelegt wurden Namen, Namen von Erziehungsberechtigten, Schul- und Stipendieninformationen sowie vollständige Bankkontonummern. Der Quelltext hebt hervor, dass dieses Portal zwar weniger Menschen betraf, die Folgen für die Betroffenen wegen der Art der Daten aber deutlich gravierender waren.

Am schwersten wogen nach Darstellung des Berichts jedoch die Funde im nationalen Portal der Union Public Service Commission (UPSC). Die UPSC ist in Indien die zentrale Behörde für die Rekrutierung von Beschäftigten im öffentlichen Dienst. Allein 2023 bewarben sich dem Quelltext zufolge 1,3 Millionen Menschen über die Plattform auf Stellen.

Bhardwaj identifizierte dort ein Dutzend Schwachstellen, von denen viele auf mangelhaftes Identitäts- und Zugriffsmanagement zurückgingen. Besonders kritisch war, dass die Administrationsoberfläche für die Authentifizierung des Portals offen aus dem Internet erreichbar war. Nach Einschätzung des Forschers hätte sich damit praktisch jeder Angreifer selbst beliebige Zugriffsrechte verschaffen und die vollständige Kontrolle über System und Daten verschaffen können.

Als weitere kritische Schwachstelle nennt der Quelltext eine Anfälligkeit für automatisierte Angriffe auf Zugangsdaten. Dazu kamen fehlende Sicherheits-Header auf Browser-Ebene, Probleme bei Kryptografie und Einmalpasswörtern sowie Anwendungsdaten, die in öffentlichen Dokumenten offengelegt wurden. All diese Punkte hätten laut Bericht bei unterschiedlichen Angriffsszenarien eine Rolle spielen können.

Trey Ford, Chief Strategy and Trust Officer bei Bugcrowd, sieht darin ein typisches Muster im öffentlichen Sektor. „Der häufigste Fehler im öffentlichen Sektor ist kein raffinierter Exploit, sondern ein einfacher Fehler wie ein offen gelassenes Verzeichnis“, sagt er. Der Fall zeige, dass bei vielen bürgernahen Portalen auf gemeinsamer Infrastruktur oft niemand eindeutig dafür verantwortlich sei, ob jedes einzelne System Zugriffskontrollen korrekt durchsetze.

Bhardwaj selbst erklärte, die meisten von ihm gefundenen Probleme seien nicht das Ergebnis hochkomplexer Angriffe gewesen, sondern Konfigurationsschwächen, inkonsistenter Zugriffskontrollen oder Sicherheitsversäumnisse. Zugleich sagte er, die Sicherheitsreife in Indien sei über Behörden hinweg noch nicht einheitlich; viele Plattformen nutzten weiter Altsysteme, und Ressourcenmangel, Beschaffungsfristen sowie fehlende erfahrene Cybersicherheitsfachkräfte könnten die Behebung verzögern. Gleichzeitig habe sich Indiens Cybersicherheitslage in den vergangenen Jahren spürbar verbessert, und mehr Regierungsstellen würden den Wert verantwortungsvoller Offenlegung von Schwachstellen anerkennen.