في المساء في 11 حزيران (يونيو) ، أفاد صحفي من بوابة الأخبار الرابعة التي تتخذ من ولاية كيرالا مقراً لها أن روبوت Telegram في قناة تسمى “hak4learn” كان يتيح الوصول إلى البيانات الخاصة لملايين الهنود. كل ما كان على المستخدم فعله هو إدخال رقم هاتف أو رقم Aadhaar (الهوية الوطنية للهند) ، وسيعرض تفاصيل بما في ذلك الاسم ورقم جواز السفر وتاريخ الميلاد. يبدو أن البيانات جاءت من تطبيق تتبع التطعيم CoWIN في الهند ، والذي يضم أكثر من مليار مستخدم مسجل.
يقول سريكانث لاكشمانان ، الباحث الذي يدير المدفوعات الرقمية الجماعية المستهلك غير النقدي: “حجم خرق البيانات هو ما يجعل من الصعب تخمين التداعيات”. “التقديرات المتحفظة تعني أنه تم الكشف عن بيانات شخصية على الأقل لمئات الملايين من المستخدمين”.
تمكنت منافذ الأخبار المحلية من استخدام الروبوت للوصول إلى المعلومات الشخصية للسياسيين. لم تستطع WIRED التحقق بشكل مستقل من تقاريرهم ؛ بحلول صباح يوم 12 يونيو ، كان الروبوت غير نشط. يقول لاكشمانان إن حقيقة إغلاقها لا تعني أن الاختراق قد انتهى ، لأن الروبوت كان على الأرجح مجرد نافذة متجر لمن وصل إلى قاعدة البيانات.
يقول لاكشمانان: “عادةً ما يكشف المتسللون عن شريحة من البيانات علنًا عبر روبوت أو صفحة ويب ليثبتوا للعالم أنهم قالوا البيانات ثم يبيعونها على شبكة الإنترنت المظلمة”. “أثناء تعطل الروبوت الآن ، لا نعرف أين يتم تداول جميع البيانات.”
توسعت البنية التحتية الرقمية العامة للهند بشكل كبير على مدى السنوات العديدة الماضية ، مع تزايد شعبية نظام هوية Aadhaar ، وانتشار نظام المدفوعات الرقمية United Payments Interface ، وإطلاق CoWIN.
يعني هذا النمو أن هناك قدرًا هائلاً من البيانات العامة في الملفات ، لكن خبراء الحقوق الرقمية قلقون من أن الأمن السيبراني والأطر القانونية المتعلقة بتخزين البيانات لم تواكب هذا النمو.
يقول تيجاسي بانجيار ، المستشار المشارك في مؤسسة حرية الإنترنت ، وهي منظمة تدافع عن الحقوق الرقمية: “إن البيانات المتعلقة بالكيانات الحكومية كبيرة جدًا من الناحية العضوية”. “وهذا هو سبب الحاجة إلى وجود معايير صارمة جدًا لأمن البيانات للكيانات الحكومية.”
قال بانجيار كذلك أن القلق هو أن الهند ليس لديها سياسة للأمن السيبراني وأن إطار حماية البيانات الحالي “يزيل هذا الجانب من التعويض الذي سيحصل عليه المستخدمون المتأثرون” ، مما يجعل مثل هذه التسريبات سببًا أكبر للقلق. أضاف بانجيار: “أعتقد أنه وقت القلق لكل من تم تطعيمه من خلال CoWIN”.
قالت وزارة الصحة إن الادعاءات التي تفيد بأن بوابة CoWIN قد تم اختراقها “لا أساس لها” وأنه طُلب من فريق الاستجابة للطوارئ الحاسوبية ، الوكالة المسؤولة عن الاستجابة لحوادث الأمن السيبراني ، التحقيق فيها.
غرد وزير تكنولوجيا المعلومات الهندي ، راجيف شاندراسيخار ، أن البيانات التي تم الوصول إليها بواسطة الروبوت مأخوذة من “قاعدة بيانات جهات التهديد” وأنه “لا يبدو أن تطبيق CoWIN أو قاعدة البيانات قد تم اختراقها بشكل مباشر”.
يبدو أن تقريرًا مستقلًا صادر عن منصة مراقبة المخاطر الرقمية CloudSEK يؤكد صحة ذلك إلى حد ما. تشير أبحاث الشركة إلى أنه بدلاً من الوصول إلى قاعدة بيانات CoWIN بالكامل أو الواجهة الخلفية ، قد يكون المتسللون قد حصلوا بدلاً من ذلك على بيانات اعتماد متعددة من العاملين الصحيين ، مما يسمح لهم بالوصول المحدود إلى السجلات.