O Ministério da Eletrônica e Tecnologia da Informação (MeitY) emitiu um comunicado orientando os provedores de serviços de redes privadas virtuais (VPN) e outros intermediários a bloquearem imediatamente o acesso a sites que divulgam informações pessoais de cidadãos indianos.
O alerta, datado de 11 de dezembro e postado pela primeira vez por um representante da MeitY no LinkedIn, cita sites como proxyearth.org e leakdata.org por supostamente divulgarem nomes, números de telefones celulares, endereços e outros dados sem consentimento. Os sites também permitem que os usuários “digitem qualquer número de celular indiano… para acessar informações, incluindo nome completo, endereço, números alternativos e IDs de e-mail”, afirmou. Um alto funcionário da MeitY confirmou a HT a autenticidade dos relatórios.
No seu aviso, o governo alertou que tais websites “representam um risco significativo para os utilizadores indianos… uma vez que o website permite acesso aberto às informações pessoais dos utilizadores sem a sua autorização”. O ministério acrescenta que esses sites ainda podem ser acessíveis através de serviços VPN, tornando necessária a ação dos provedores de VPN.
O comunicado lembra aos intermediários as suas obrigações ao abrigo da Lei de Tecnologia da Informação (TI) de 2000 e dos Regulamentos de TI de 2021, incluindo a exigência de tomar “medidas imediatas e eficazes” para garantir que conteúdo ilegal ou que viole a privacidade não seja hospedado ou distribuído em suas plataformas. O não cumprimento pode custar às empresas a proteção do porto seguro nos termos da Seção 79 da Lei de TI, e as violações podem levar a penalidades nos termos da Lei de TI e da Lei Bharatiya Nyaya Sanhita de 2023.
Citando a “gravidade da situação”, MeitY “reenfatizou, com maior ênfase” que os serviços VPN e os intermediários devem “fazer esforços razoáveis para impedir o acesso” a tais sites. A consulta também reitera que os intermediários devem fornecer informações ou assistência às autoridades responsáveis pela aplicação da lei e pela segurança cibernética “de uma forma razoavelmente atempada”.
A MeitY acredita que a estrutura atual, incluindo regulamentações de TI, procedimentos CERT-In e a Lei de Proteção de Dados Pessoais Digitais, é suficiente para evitar vazamentos em grande escala. Quanto ao motivo pelo qual o aviso foi emitido, o secretário do MeitY, S Krishnan, disse que soube que detalhes pessoais de indianos estavam disponíveis em alguns sites fora da Índia.
Houve várias violações importantes de dados na Índia nos últimos anos. Em 2025, a Zoomcar relatou uma violação de cerca de 8,4 milhões de usuários, expondo dados pessoais. No mesmo ano, os dados de mais de 18 milhões de usuários foram expostos como resultado da invasão do aplicativo da sociedade Adda Howard. Também em 2025, o Conselho Indiano de Investigação Agrícola (ICAR) sofreu um ataque cibernético que perturbou os sistemas de recrutamento e investigação.
Um especialista em segurança cibernética disse que a medida do governo visa não apenas bloquear tecnicamente o acesso a esses sites de hospedagem, mas também transferir a responsabilidade legal para os intermediários. “É por isso que o ministério não está apenas banindo esses sites, mas também lembrando aos intermediários, como ISPs e provedores de serviços VPN, que se tais serviços forem hospedados por eles, eles serão responsabilizados”, disse Sandeep K. Shukla, diretor do IIIT Hyderabad.
Segundo ele, trata-se de uma proibição baseada em regras, e não puramente tecnológica. Apenas uma abordagem técnica exige que ISPs e VPNs bloqueiem determinados URLs. Mas, observou ele, “uma proibição baseada em regras significa que estes prestadores de serviços serão responsabilizados se não bloquearem quaisquer sites da mesma natureza, incluindo aqueles que os espelham”. O objetivo é eliminar a maneira como esses sites são frequentemente restaurados por meio de espelhos e backups.
Ele acrescentou que isso efetivamente coloca uma alta demanda nos ISPs e provedores de VPN, que normalmente não verificam o conteúdo dos sites que hospedam. “Normalmente, esses intermediários não verificam o conteúdo dos sites que hospedam, mas agora, para esse tipo de conteúdo, eles precisam… da mesma forma, precisam verificar se os sites que hospedam hospedam CSAM ou conteúdo semelhante”, disse ele.
