Масштабний витік бази даних вакцин розкрив ідентифікаційні дані мільйонів індійців

Увечері 11 червня журналіст новинного порталу The Fourth зі штату Керала повідомив, що Telegram-бот у каналі під назвою «hak4learn» пропонує доступ до приватних даних мільйонів індійців. Все, що потрібно було зробити користувачеві, — це ввести номер телефону або номер Aadhaar (національне посвідчення особи в Індії), і він повернув би дані, включаючи ім’я, номер паспорта та дату народження. Дані, схоже, були отримані з індійського додатку для відстеження вакцинації CoWIN, який має понад 1 мільярд зареєстрованих користувачів.

«Масштаб витоку даних ускладнює прогнозування наслідків, — каже Шрікант Лакшманан, дослідник, який очолює колектив цифрових платежів Cashless Consumer. «За найскромнішими оцінками, витоку піддалися персональні дані щонайменше кількох сотень мільйонів користувачів».

Місцеві ЗМІ змогли використати бота для доступу до особистої інформації політиків. WIRED не змогла самостійно перевірити їхні повідомлення; до ранку 12 червня бот був неактивний. За словами Лакшманана, той факт, що бот припинив роботу, не означає, що злом вичерпано, оскільки бот, швидше за все, був лише вітриною для тих, хто отримав доступ до бази даних.

«Зазвичай хакери публічно оприлюднюють частину даних через бота або веб-сторінку, щоб довести світові, що вони мають ці дані, а потім продають їх у темному інтернеті, — каже Лакшманан. «Поки бот не працює, ми не знаємо, де торгують усіма даними».

За останні кілька років цифрова державна інфраструктура Індії значно розширилася завдяки зростанню популярності системи ідентифікації особи Aadhaar, поширенню системи цифрових платежів United Payments Interface і запуску CoWIN.

Таке зростання призвело до того, що в архівах з’явилася величезна кількість публічних даних, але експерти з цифрових прав занепокоєні тим, що кібербезпека та правові рамки зберігання даних не встигають за цим зростанням.

«Дані, пов’язані з державними установами, органічно дуже великі, — каже Теджасі Панджіар, асоційований радник Фонду свободи Інтернету, організації, яка відстоює цифрові права. «Саме тому для державних установ мають бути дуже суворі стандарти безпеки даних».

Панджіар також зазначив, що занепокоєння викликає те, що в Індії немає політики кібербезпеки, і що навіть існуюча система захисту даних «не враховує той аспект компенсації, який могли б отримати постраждалі користувачі», що робить такі витоки ще більшим приводом для занепокоєння. «Я думаю, що це час для занепокоєння для всіх, хто пройшов вакцинацію через CoWIN», — додав Панджіар.

Міністерство охорони здоров’я заявило, що заяви про злом порталу CoWIN «не мають під собою жодних підстав», і попросило Computer Emergency Response Team, агентство, відповідальне за реагування на інциденти кібербезпеки, провести розслідування.

Найпопулярніше
Усі серії «Чорного дзеркала»: від найгіршої до найкращої
Аміт Катвала
41 найкращий фільм на Netflix цього тижня
Метт Кеймен
Як «Індіана Джонс і дзиґа долі» омолодили Гаррісона Форда
Вілл Бедінгфілд
11 найкращих фільмів на Amazon Prime прямо зараз

Міністр інформаційних технологій Індії Раджив Чандрасехар написав у твіттері, що дані, до яких отримав доступ бот, походять з «бази даних загрозливих акторів» і що «не схоже, що додаток або база даних CoWIN були безпосередньо зламані».

Незалежний звіт платформи моніторингу цифрових ризиків CloudSEK, схоже, певною мірою це підтверджує. Дослідження компанії припускає, що замість того, щоб мати доступ до всієї бази даних або серверної частини CoWIN, хакери могли заволодіти кількома обліковими даними медичних працівників, що дозволило їм отримати більш обмежений доступ до записів.

«Що CloudSEK знає з високою впевненістю, так це те, що зловмисники мають доступ до численних облікових даних медичних працівників, які можуть бути використані для доступу до порталу CoWIN для цих окремих медичних працівників і даних, до яких вони мають доступ», — говорить Рахул Сасі, генеральний директор CloudSEK. «Ми також припускаємо, що це якийсь неавторизований API, який дозволив би зловмисникам запитувати конкретні дані користувачів. Але на даний момент немає ніяких доказів».

CoWIN була запущена в січні 2021 року як основа індійської кампанії з вакцинації. Платформа, яка також була доступна у вигляді мобільного додатку, використовувалася людьми для бронювання місць для вакцинації та отримання сертифікатів про щеплення для себе та членів своєї родини. Тодішній уряд критикували за те, що CoWIN стала єдиним способом для індійців записатися на вакцинацію, виключаючи мільйони людей, які не мали доступу до смартфонів та інтернету.

Новини про базу даних CoWIN з’являються не вперше. У 2021 році хакерська група Dark Leak Market заявила, що має доступ до даних 150 мільйонів індійців, зареєстрованих на CoWIN. Міністерство охорони здоров’я заперечило ці звинувачення, заявивши, що платформа зберігає «всі дані в безпечному і захищеному цифровому середовищі». У той час дослідники кібербезпеки заявили, що підозрюють, що «витік» був шахрайством.