Anslut till Senaste Tekniska Nyheter, Bloggar, Recensioner

Regeringen förnekar CoWin dataintrång, hävdar datasäkerhet

Den indiska regeringen har avfärdat rapporter som tyder på ett dataintrång på CoWin-portalen, som lagrar covid-19-vaccinationsdata. Unionsminister Rajeev Chandrasekhar försäkrar att det inte finns något direkt brott mot CoWin-appen.

Anspråk på Twitter angående dataåtkomst

Vissa inlägg på Twitter har hävdat att personuppgifter om vaccinerade individer nås via en Telegram BOT. BOT hämtar enligt uppgift individuell data med hjälp av mobilnummer eller Aadhaar-nummer.

Rapporter anses grundlösa och busiga

Regeringen klargör att dessa rapporter är ogrundade och busiga. Hälsoministeriets Co-WIN-portal är helt säker, med kraftfulla åtgärder på plats för att skydda dataintegriteten.

Portalen använder en webbapplikationsbrandvägg, Anti-DDoS, SSL/TLS, regelbundna sårbarhetsbedömningar och Identity & Access Management. Dataåtkomst ges endast genom OTP-autentisering.

CoWin dataåtkomstnivåer – Co-WIN-portalen tillåter dataåtkomst på tre nivåer:
  1. Mottagarens instrumentpanel: Vaccinerade individer kan komma åt sina egna Co-WIN-data med hjälp av deras registrerade mobilnummer med OTP-autentisering.
  2. Auktoriserad användare av Co-WIN: Vaccinatorer som har verifierade inloggningsuppgifter kan komma åt data på personlig nivå för vaccinerade förmånstagare. Systemet spårar varje auktoriserad användares åtkomstaktivitet.
  3. Åtkomst via API:er: Data på personlig nivå för vaccinerade förmånstagare kan nås av tredjepartsapplikationer som har auktoriserad åtkomst till Co-WIN API:er, med förmånstagarens OTP-autentisering.
Förtydligande på Telegram BOT

Data från vaccinerade förmånstagare kan inte delas med någon BOT utan OTP-autentisering. Endast födelseåret (YOB) registreras för vuxenvaccination; påståenden som tyder på att BOT också fångar födelsedatumet (DOB) är felaktiga. Det finns ingen bestämmelse för att fånga mottagarens adress.

Inga offentliga API:er tillåter dataåtkomst utan OTP

Utvecklarna av CoWin försäkrar att OTP-verifiering krävs för all datahämtning via offentliga API:er. Vissa API:er har delats med betrodda tredje parter, såsom Indian Council of Medical Research (ICMR), men dataförfrågningar via dessa API:er kräver specifik vitlistad åtkomst.

Regeringens åtgärder för att lösa problemet

Unionens hälsoministerium har sökt Indian Computer Emergency Response Team (CERT-In) för att undersöka ärendet och rapportera tillbaka. Samtidigt genomgår CoWINs säkerhetsåtgärder en intern kontroll för att säkra data. CERT-Ins första rapport indikerar att Telegram-botens backend-databas inte direkt kommer åt CoWin-databasens API:er.

I en kommentar till rapporterna sa Rajeev Chandrasekhar, unionens minister för informationsteknologi:

Ministeriet kontrollerade rapporterna om dataläckor och fann att CoWin-appen eller databasen inte har “direkt brutits”. Data som nås av en bot är från en hotaktörsdatabas, som verkar ha fyllts med tidigare läckt/stul data. Det verkar inte som om CoWin-appen eller databasen har brutits direkt.