Den indiska regeringen har avfärdat rapporter som tyder på ett dataintrång på CoWin-portalen, som lagrar covid-19-vaccinationsdata. Unionsminister Rajeev Chandrasekhar försäkrar att det inte finns något direkt brott mot CoWin-appen.
Anspråk på Twitter angående dataåtkomst
Vissa inlägg på Twitter har hävdat att personuppgifter om vaccinerade individer nås via en Telegram BOT. BOT hämtar enligt uppgift individuell data med hjälp av mobilnummer eller Aadhaar-nummer.
Med hänvisning till några påstådda Cowin-dataintrång som rapporterats på sociala medier, @IndianCERT har omedelbart svarat och recenserat detta
✅En Telegram Bot slängde upp Cowin-appens detaljer vid inmatning av telefonnummer
✅Datan som boten kommer åt från en hotaktörsdatabas, som verkar…
— Rajeev Chandrasekhar 🇮🇳 (@Rajeev_GoI) 12 juni 2023
Rapporter anses grundlösa och busiga
Regeringen klargör att dessa rapporter är ogrundade och busiga. Hälsoministeriets Co-WIN-portal är helt säker, med kraftfulla åtgärder på plats för att skydda dataintegriteten.
Portalen använder en webbapplikationsbrandvägg, Anti-DDoS, SSL/TLS, regelbundna sårbarhetsbedömningar och Identity & Access Management. Dataåtkomst ges endast genom OTP-autentisering.
CoWin dataåtkomstnivåer – Co-WIN-portalen tillåter dataåtkomst på tre nivåer:
- Mottagarens instrumentpanel: Vaccinerade individer kan komma åt sina egna Co-WIN-data med hjälp av deras registrerade mobilnummer med OTP-autentisering.
- Auktoriserad användare av Co-WIN: Vaccinatorer som har verifierade inloggningsuppgifter kan komma åt data på personlig nivå för vaccinerade förmånstagare. Systemet spårar varje auktoriserad användares åtkomstaktivitet.
- Åtkomst via API:er: Data på personlig nivå för vaccinerade förmånstagare kan nås av tredjepartsapplikationer som har auktoriserad åtkomst till Co-WIN API:er, med förmånstagarens OTP-autentisering.
Förtydligande på Telegram BOT
Data från vaccinerade förmånstagare kan inte delas med någon BOT utan OTP-autentisering. Endast födelseåret (YOB) registreras för vuxenvaccination; påståenden som tyder på att BOT också fångar födelsedatumet (DOB) är felaktiga. Det finns ingen bestämmelse för att fånga mottagarens adress.
Inga offentliga API:er tillåter dataåtkomst utan OTP
Utvecklarna av CoWin försäkrar att OTP-verifiering krävs för all datahämtning via offentliga API:er. Vissa API:er har delats med betrodda tredje parter, såsom Indian Council of Medical Research (ICMR), men dataförfrågningar via dessa API:er kräver specifik vitlistad åtkomst.
Regeringens åtgärder för att lösa problemet
Unionens hälsoministerium har sökt Indian Computer Emergency Response Team (CERT-In) för att undersöka ärendet och rapportera tillbaka. Samtidigt genomgår CoWINs säkerhetsåtgärder en intern kontroll för att säkra data. CERT-Ins första rapport indikerar att Telegram-botens backend-databas inte direkt kommer åt CoWin-databasens API:er.
I en kommentar till rapporterna sa Rajeev Chandrasekhar, unionens minister för informationsteknologi:
Ministeriet kontrollerade rapporterna om dataläckor och fann att CoWin-appen eller databasen inte har “direkt brutits”. Data som nås av en bot är från en hotaktörsdatabas, som verkar ha fyllts med tidigare läckt/stul data. Det verkar inte som om CoWin-appen eller databasen har brutits direkt.