Buzz
Vào buổi tối ngày 11 tháng 6, một nhà báo từ cổng thông tin tin tức có trụ sở tại Kerala, The Fourth, đưa tin rằng một bot trên Telegram trong một kênh có tên “hak4learn” đang cung cấp quyền truy cập vào dữ liệu riêng tư của hàng triệu người Ấn Độ. Người dùng chỉ cần nhập số điện thoại hoặc số Aadhaar (chứng minh nhân dân quốc gia của Ấn Độ), và nó sẽ trả về chi tiết bao gồm tên, số hộ chiếu và ngày sinh của họ. Dữ liệu có vẻ đã xuất phát từ ứng dụng theo dõi tiêm chủng CoWIN của Ấn Độ, có hơn 1 tỷ người dùng đăng ký.
“Quy mô của sự vi phạm dữ liệu là điều làm cho việc đoán hậu quả trở nên khó khăn,” nói Srikanth Lakshmanan, một nhà nghiên cứu điều hành tập thể thanh toán số Cashless Consumer. “Ước lượng thận trọng có nghĩa là ít nhất dữ liệu cá nhân của vài trăm triệu người dùng đã bị tiết lộ.”
Các cơ quan thông tin địa phương đã có thể sử dụng bot để truy cập thông tin cá nhân của các chính trị gia. Mytour không thể xác minh độc lập báo cáo của họ; đến sáng ngày 12 tháng 6, bot đã không hoạt động. Việc nó đã đóng cửa không có nghĩa là sự vi phạm đã kết thúc, Lakshmanan nói, vì khả năng cao bot chỉ là cửa hàng trưng bày cho bất kỳ ai truy cập vào cơ sở dữ liệu.
“Thường, hacker tiết lộ một phần dữ liệu công khai qua một bot hoặc trang web để chứng minh cho thế giới rằng họ có dữ liệu đó và sau đó bán nó trên dark web,” Lakshmanan nói. “Mặc dù bot đang tắt bây giờ, chúng ta không biết dữ liệu đang được giao dịch ở đâu."
Cơ sở hạ tầng công cộng kỹ thuật số của Ấn Độ đã mở rộng mạnh mẽ trong những năm gần đây, với sự phổ biến ngày càng tăng của hệ thống nhận diện Aadhaar, sự lan rộng của hệ thống thanh toán kỹ thuật số United Payments Interface và việc ra mắt CoWIN.
Sự phát triển này có nghĩa là có một lượng lớn dữ liệu công cộng trong tệp, nhưng các chuyên gia quyền số lo ngại rằng an ninh mạng và khung pháp lý về lưu trữ dữ liệu không đuổi kịp sự phát triển.
“Dữ liệu liên quan đến các cơ quan chính phủ tự nhiên là rất lớn,” nói Tejasi Panjiar, một luật sư thuộc Internet Freedom Foundation, một tổ chức bảo vệ quyền số. “Đó là lý do tại sao cần phải có các tiêu chuẩn an ninh dữ liệu rất nghiêm ngặt cho các cơ quan dựa trên chính phủ.”
Panjiar cũng nói rằng lo ngại là Ấn Độ không có một chính sách an ninh mạng và thậm chí khung bảo vệ dữ liệu hiện tại “lấy đi khía cạnh đền bù mà người dùng bị ảnh hưởng sẽ nhận được,” làm cho những vụ rò rỉ như vậy trở thành nguyên nhân lo ngại lớn hơn. “Tôi nghĩ đây là lúc phải lo lắng đối với tất cả những người đã được tiêm chủng thông qua CoWIN,” thêm Panjiar.
Bộ Y tế cho biết các tuyên bố rằng cổng thông tin CoWIN đã bị xâm phạm là “không có cơ sở” và đội Emergency Response Team, cơ quan chịu trách nhiệm đối phó với các sự cố an ninh mạng, đã được yêu cầu điều tra.
Bộ trưởng Công nghệ thông tin của Ấn Độ, Rajeev Chandrasekhar, đã tweet rằng dữ liệu được truy cập bởi bot đến từ “cơ sở dữ liệu của một đối tác đe dọa” và rằng “không có vẻ như ứng dụng hoặc cơ sở dữ liệu CoWIN đã bị xâm phạm trực tiếp.”
Một báo cáo độc lập của nền tảng giám sát rủi ro kỹ thuật số CloudSEK có vẻ xác nhận điều này một phần. Nghiên cứu của công ty cho thấy thay vì có quyền truy cập vào toàn bộ cơ sở dữ liệu hoặc phần backend của CoWIN, hacker có thể đã giữ nhiều chứng chỉ từ nhân viên y tế, cho phép họ có quyền truy cập hạn chế hơn vào hồ sơ.
“Điều mà CloudSEK biết với độ chắc chắn cao là các đối tượng đe dọa có quyền truy cập vào nhiều chứng chỉ thuộc về nhân viên y tế có thể được sử dụng để truy cập cổng thông tin CoWIN cho những nhân viên y tế cá nhân đó và dữ liệu mà họ có quyền truy cập,” nói Rahul Sasi, Giám đốc điều hành của CloudSEK. “Điều chúng tôi cũng suy đoán là một loại API không xác thực nào đó có thể đã cho phép những kẻ tấn công truy vấn chi tiết người dùng cụ thể. Nhưng vào thời điểm này không có bằng chứng.”
CoWIN được ra mắt vào tháng 1 năm 2021 làm nền tảng của chiến dịch tiêm chủng của Ấn Độ. Nền tảng này, cũng có sẵn dưới dạng ứng dụng di động, đã được người dân sử dụng để đặt lịch tiêm chủng và tạo chứng chỉ tiêm chủng cho bản thân và các thành viên trong gia đình. Chính phủ lúc đó đã bị chỉ trích vì làm cho CoWIN trở thành cách duy nhất cho người Ấn Độ đặt lịch hẹn tiêm chủng, loại bỏ hàng triệu người không có truy cập vào điện thoại di động hoặc internet.
Đây không phải là lần đầu tiên tin đồn về cơ sở dữ liệu CoWIN xuất hiện. Năm 2021, Dark Leak Market, một nhóm hacker, nói rằng họ có quyền truy cập vào dữ liệu của 150 triệu người Ấn Độ đăng ký trên CoWIN. Bộ Y tế đã phủ nhận những tuyên bố này, nói rằng nền tảng lưu trữ “tất cả dữ liệu trong môi trường kỹ thuật số an toàn và bảo mật.” Lúc đó, các nhà nghiên cứu an ninh mạng nói họ nghi ngờ “rò rỉ” là một trò lừa đảo.
