Am Abend vom 11. Juni, ein Journalist des in Kerala ansässigen Nachrichtenportals Die vierte berichtete, dass ein Telegram-Bot in einem Kanal namens „hak4learn“ Zugriff auf die privaten Daten von Millionen Indern bot. Ein Benutzer musste lediglich eine Telefonnummer oder Aadhaar-Nummer (Indiens Personalausweis) eingeben, und schon wurden Details wie Name, Passnummer und Geburtsdatum zurückgegeben. Die Daten scheinen von der indischen CoWIN-Impfverfolgungs-App zu stammen, die mehr als hat 1 Milliarde Registrierte Benutzer.
„Das Ausmaß der Datenschutzverletzung macht es schwierig, die Auswirkungen abzuschätzen“, sagt Srikanth Lakshmanan, ein Forscher, der das Kollektiv für digitale Zahlungen Cashless Consumer leitet. „Konservative Schätzungen gehen davon aus, dass zumindest personenbezogene Daten von mehreren hundert Millionen Nutzern offengelegt wurden.“
Lokale Nachrichtenagenturen konnten den Bot dazu nutzen Zugriff auf die persönlichen Daten von Politikern. WIRED konnte ihre Berichterstattung nicht unabhängig überprüfen; Am Morgen des 12. Juni war der Bot inaktiv. Die Tatsache, dass er heruntergefahren wurde, bedeutet nicht, dass der Verstoß vorüber ist, sagt Lakshmanan, da der Bot wahrscheinlich nur ein Schaufenster für denjenigen war, der auf die Datenbank zugegriffen hat.
„Normalerweise geben Hacker einen Teil der Daten öffentlich über einen Bot oder eine Webseite preis, um der Welt zu beweisen, dass sie diese Daten haben, und verkaufen sie dann im Dark Web“, sagt Lakshmanan. „Obwohl der Bot jetzt nicht verfügbar ist, wissen wir nicht, wo alle Daten gehandelt werden.“
Indiens digitale öffentliche Infrastruktur hat sich in den letzten Jahren mit der wachsenden Beliebtheit der digitalen Infrastruktur enorm erweitert Aadhaar Identitätssystem, das Proliferation des digitalen Zahlungssystems United Payments Interface und die Einführung von CoWIN.
Dieses Wachstum hat dazu geführt, dass eine große Menge öffentlicher Daten gespeichert ist. Experten für digitale Rechte befürchten jedoch, dass die Cybersicherheit und die rechtlichen Rahmenbedingungen für die Datenspeicherung nicht mit dem Wachstum Schritt gehalten haben.
„Die mit Regierungsstellen verbundenen Daten sind organisch sehr umfangreich“, sagt Tejasi Panjiar, Associate Counsel bei der Internet Freedom Foundation, einer Organisation, die sich für digitale Rechte einsetzt. „Deshalb muss es sehr strenge Datensicherheitsstandards für staatliche Stellen geben.“
Panjiar sagte weiter, dass die Sorge darin bestehe, dass Indien keine Cybersicherheitspolitik habe und dass selbst das aktuelle Datenschutzrahmenwerk „den Aspekt der Entschädigung wegnimmt, den betroffene Benutzer erhalten würden“, was solche Lecks zu einem noch größeren Anlass zur Sorge mache. „Ich denke, es ist eine Zeit der Sorge für alle, die über CoWIN geimpft wurden“, fügte Panjiar hinzu.
Das Gesundheitsministerium hat erklärt, dass es Behauptungen gibt, dass das CoWIN-Portal verletzt worden sei „ohne jede Grundlage“ und dass das Computer Emergency Response Team, die für die Reaktion auf Cybersicherheitsvorfälle zuständige Behörde, mit der Untersuchung beauftragt wurde.
Indiens IT-Minister Rajeev Chandrasekhar twitterte, dass die Daten, auf die der Bot zugreift, aus einer „Datenbank von Bedrohungsakteuren“ stammen und dass „es nicht den Anschein hat, dass die CoWIN-App oder -Datenbank direkt gehackt wurde“.
Ein unabhängiger Bericht Die von der digitalen Risikoüberwachungsplattform CloudSEK durchgeführte Analyse scheint dies einigermaßen zu bestätigen. Die Untersuchungen des Unternehmens deuten darauf hin, dass die Hacker möglicherweise nicht auf die gesamte CoWIN-Datenbank oder das Backend Zugriff hatten, sondern möglicherweise mehrere Zugangsdaten von Gesundheitspersonal erhalten haben, was ihnen einen eingeschränkteren Zugriff auf die Aufzeichnungen ermöglichte.