Das indische Ministerium für Gesundheit und Familienfürsorge untersucht derzeit Berichte über ein angebliches Datenleck der COVID-19-Impfplattform Covid Vaccine Intelligent Network oder Co-WIN.
Worum es geht
Mehrere Medienberichte haben Beiträge von Twitter geteilt, wonach die persönlichen Daten geimpfter Personen mithilfe eines Telegram-Bots zugänglich gemacht wurden. Der Bot ist angeblich in der Lage, diese Daten mithilfe der Mobiltelefonnummer oder der Aadhaar-Nummer (eindeutige 12-stellige Nummer) einer Person abzurufen.
In einer Erklärung wies das MOHFW die Berichte als „entbehrlich und böswilliger Natur“ zurück.
„Co-WIN-Portal von [the] „Das Gesundheitsministerium ist absolut sicher und verfügt über angemessene Schutzmaßnahmen für den Datenschutz“, hieß es.
Das Ministerium hat bereits das indische Computer-Notfallteam damit beauftragt, diese Berichte zu untersuchen, während derzeit eine interne Übung durchgeführt wird, um die bestehenden Sicherheitsmaßnahmen des Impfportals zu überprüfen. In seinem ersten Bericht wies CERT-In darauf hin, dass die Back-End-Datenbank für den Telegram-Bot nicht direkt auf die APIs der Co-WIN-Datenbank zugreift.
WARUM ES WICHTIG IST
Nach Angaben des Ministeriums ist der Zugriff auf Co-WIN-Daten nur über die OTP-Authentifizierung und auf drei Ebenen möglich:
-
Begünstigten-Dashboard: Geimpfte Personen können über ihre registrierte Mobiltelefonnummer mit OTP-Authentifizierung auf ihre eigenen Co-WIN-Daten zugreifen.
-
Autorisierte Co-WIN-Benutzer: Impfberechtigte mit authentischen Zugangsdaten. Ihre Anmeldungen werden vom System verfolgt und aufgezeichnet.
-
API-basierter Zugriff: Apps von Drittanbietern, die autorisierten Zugriff auf Co-WIN-APIs ermöglichen, können ebenfalls nur über das OTP des Impfempfängers auf die Impfdaten einer Person zugreifen.
Das MOHFW stellte klar, dass ein Telegram-Bot ohne das OTP der Person keine Co-WIN-Daten weitergeben und deren Adresse nicht erfassen kann.
Das Entwicklungsteam hinter Co-WIN versichert, dass es keine öffentlichen APIs gibt, die ohne OTP Daten von der Impfplattform abrufen können, obwohl es einige APIs gibt, die zum Zweck der Datenfreigabe mit Dritten, wie dem Indian Council of Medical Research, geteilt wurden .
Unterdessen sei die in den Berichten beschriebene API „sehr spezifisch und die Anfragen werden nur von einer vertrauenswürdigen API akzeptiert, die von der Co-WIN-Anwendung auf die weiße Liste gesetzt wurde“, stellte das Ministerium fest.
Darüber hinaus teilte das MOHFW mit, dass auf der Impfplattform unter anderem Sicherheitsmaßnahmen wie Web Application Firewall, Anti-DDoS, SSL/TLS, regelmäßige Schwachstellenbewertung sowie Identitäts- und Zugriffsmanagement vorhanden seien.
DER GRÖSSERE TREND
Dies ist das dritte Mal, dass Vorwürfe eines Co-WIN-Datenlecks gemeldet werden. Letztes Jahr im Januar wurde behauptet, dass Impfdaten, einschließlich der Persönliche Daten von etwa 20.000 Menschen wurden auf einem unterirdischen Datenbankmarktplatz verkauft. Solche Berichte wurden später vom Ministerium zurückgewiesen, das versicherte, dass das Portal die Daten der Menschen „sicher und geschützt“ verwahre. Zuvor wurde auch berichtet, dass die COVID-19-Impfdatenbank aus Indien auf dem Data Leak Market verkauft wurde, was die Regierung ebenfalls dementierte.
Co-WIN ging im Januar 2021 online und dient als Plattform, auf der Bürger Impfplätze buchen und ihre Impfbescheinigungen digital herunterladen können. Die API von Co-WIN gilt als eine Kraft des öffentlichen Wohls und wurde sechs Monate später von der Regierung als Open-Source-Lösung bereitgestellt.
Inzwischen hat die indische Regierung hat die Co-WIN-Plattform aktualisiert, um alle Impfungen gegen häufige vermeidbare Krankheiten, einschließlich Masern und Röteln, zu verfolgen.
