Komisi Pemilihan India telah memperbaiki kekurangan pada situs webnya yang mengungkapkan data terkait dengan permintaan informasi warga terkait dengan status kelayakan memilih, kandidat dan partai politik lokal, serta detail teknis tentang mesin pemungutan suara elektronik. India menuju pemilihan umum berikutnya, yang diharapkan dilaksanakan antara bulan April dan Mei, untuk memilih anggota parlemen dari dewan rendah yang akan membentuk pemerintahan baru.
Komisi Pemilihan India memperbaiki bug-bug pada portal Hak untuk Informasi (RTI) yang memungkinkan warga untuk meminta akses ke catatan otoritas konstitusi, serta lembaga pemerintah negara dan pusat serta organisasi swasta yang menerima dana substansial dari pemerintah India.
Bug-bug tersebut memungkinkan akses ke permintaan RTI, unduhan tanda terima transaksi, dan respons yang dibagikan oleh pejabat tanpa otentikasi login pengguna yang tepat.
Beberapa data yang terungkap termasuk tanggal pengajuan RTI, pertanyaan yang diajukan, nama dan alamat surat-menyurat pemohon, status garis kemiskinan pemohon, serta respons RTI.
Peneliti keamanan Karan Saini menemukan bug-bug tersebut pada bulan Februari dan meminta TechCrunch untuk membantu mengungkapkannya kepada otoritas setelah Komisi Pemilihan, Tim Tanggap Darurat Komputer India (CERT-In), dan Pusat Perlindungan Infrastruktur Informasi Kritis Nasional awalnya tidak merespons permintaannya untuk memperbaikinya. Bug-bug tersebut diperbaiki awal pekan ini setelah intervensi CERT-In.
“CERT-In telah mengoordinasikan masalah ini dengan otoritas yang bersangkutan. Baru-baru ini, CERT-In telah diinformasikan oleh otoritas yang bersangkutan bahwa kerentanan yang dilaporkan telah diperbaiki,” kata agensi keamanan cyber India dalam sebuah email kepada TechCrunch pada hari Selasa.
Agensi tersebut juga mengonfirmasi perbaikan tersebut kepada peneliti.
Meskipun aplikasi RTI dan responsnya tidak bersifat rahasia menurut hukum India, sebuah putusan oleh Pengadilan Tinggi Kolkata pada tahun 2014 memerintahkan otoritas yang menerima data pribadi pemohon RTI “untuk menyembunyikan informasi tersebut dan khususnya dari situs web mereka agar orang secara umum tidak mengetahui detailnya.”
Secara default, portal RTI Komisi Pemilihan India tidak memberikan akses ke aplikasi RTI individu dan respons tanpa login, yang berarti akses eksternal terhadap data tersebut dan kemampuannya untuk digarap — karena dapat diakses tanpa login — membuat kekurangan tersebut menjadi masalah privasi.
Komisi Pemilihan India tidak merespons permintaan komentar.