#RòRỉDữLiệu #ViPhạmBảoMậtMạng #Covid-19 #CoWIN #YTế
Sự kiện nghiêm trọng xảy ra trong đêm ngày 11 tháng 6 khi một bot Telegram trong kênh “hak4learn” được cho là đã lộ thông tin cá nhân của hàng triệu người dùng CoWIN (ứng dụng theo dõi tiêm chủng Covid-19 của Ấn Độ). Chỉ cần nhập số điện thoại hoặc số Aadhaar (ID quốc gia của Ấn Độ), bot sẽ trả về các thông tin như tên, số hộ chiếu, ngày sinh… Các cửa hàng tin tức địa phương đã sử dụng bot để truy cập thông tin của các chính trị gia. Vi phạm dữ liệu như này khiến cho hàng triệu người dùng bị lo lắng và những chuyên gia về quyền kỹ thuật số cũng toan tính về an ninh mạng và khung pháp lý xung quanh việc lưu trữ dữ liệu. Việc xảy ra này phải được giải quyết ngay lập tức để bảo vệ thông tin của người dân. Bộ y tế Ấn Độ đã khẳng định tuyên bố CoWIN bị vi phạm là “không có cơ sở” và sẽ tiếp tục điều tra.
vào buổi tối vào ngày 11 tháng 6, một nhà báo từ cổng thông tin có trụ sở tại Kerala Thứ tư báo cáo rằng một bot Telegram trong một kênh có tên “hak4learn” đang cung cấp quyền truy cập vào dữ liệu cá nhân của hàng triệu người Ấn Độ. Tất cả những gì người dùng phải làm là nhập số điện thoại hoặc số Aadhaar (ID quốc gia của Ấn Độ) và nó sẽ trả về các chi tiết bao gồm tên, số hộ chiếu và ngày sinh của họ. Dữ liệu dường như đến từ ứng dụng theo dõi tiêm chủng CoWIN của Ấn Độ, ứng dụng này có hơn 1 tỉ người dùng đã đăng ký.
Srikanth Lakshmanan, một nhà nghiên cứu điều hành tập thể thanh toán kỹ thuật số Người tiêu dùng không dùng tiền mặt, cho biết: “Quy mô của vi phạm dữ liệu là điều khiến người ta khó đoán được hậu quả. “Ước tính thận trọng có nghĩa là ít nhất dữ liệu cá nhân của vài trăm triệu người dùng đã bị lộ.”
Các cửa hàng tin tức địa phương đã có thể sử dụng bot để truy cập thông tin cá nhân của các chính trị gia. WIRED không thể xác minh độc lập báo cáo của họ; đến sáng ngày 12 tháng 6, bot không hoạt động. Lakshmanan nói, thực tế là nó đã ngừng hoạt động không có nghĩa là vi phạm đã kết thúc, vì bot có thể chỉ là cửa sổ cửa hàng cho bất kỳ ai truy cập cơ sở dữ liệu.
Lakshmanan nói: “Thông thường, tin tặc tiết lộ công khai một phần dữ liệu thông qua bot hoặc trang web để chứng minh với thế giới rằng họ đã nói dữ liệu và sau đó bán nó trên web tối. “Mặc dù bot hiện đang ngừng hoạt động, chúng tôi không biết tất cả dữ liệu đang được giao dịch ở đâu.”
Cơ sở hạ tầng công cộng kỹ thuật số của Ấn Độ đã mở rộng ồ ạt trong vài năm qua, với sự phổ biến ngày càng tăng của Aadhaar hệ thống nhận dạng, các sinh sôi nảy nở của hệ thống thanh toán kỹ thuật số United Payments Interface và sự ra mắt của đồng tiền.
Sự tăng trưởng này có nghĩa là có một lượng lớn dữ liệu công khai được lưu trữ, nhưng các chuyên gia về quyền kỹ thuật số lo ngại rằng an ninh mạng và khung pháp lý xung quanh việc lưu trữ dữ liệu không theo kịp tốc độ tăng trưởng.
“Dữ liệu liên quan đến các tổ chức chính phủ về mặt tổ chức là rất lớn,” Tejasi Panjiar, một cố vấn tại Tổ chức Tự do Internet, một tổ chức ủng hộ các quyền kỹ thuật số, cho biết. “Đó là lý do tại sao cần phải có các tiêu chuẩn bảo mật dữ liệu rất nghiêm ngặt đối với các thực thể thuộc chính phủ.”
Panjiar nói thêm rằng mối lo ngại là Ấn Độ không có chính sách an ninh mạng và ngay cả khuôn khổ bảo vệ dữ liệu hiện tại cũng “lấy đi khía cạnh bồi thường mà người dùng bị ảnh hưởng sẽ nhận được”, khiến những vụ rò rỉ như vậy càng trở thành nguyên nhân gây lo ngại lớn hơn. Panjiar nói thêm: “Tôi nghĩ rằng đã đến lúc phải lo lắng cho tất cả những người đã được tiêm vắc-xin thông qua CoWIN.
Bộ y tế đã nói rằng tuyên bố rằng cổng CoWIN đã bị vi phạm là “không có cơ sở” và rằng Nhóm ứng phó khẩn cấp máy tính, cơ quan chịu trách nhiệm ứng phó với các sự cố an ninh mạng, đã được yêu cầu điều tra.
Bộ trưởng CNTT của Ấn Độ, Rajeev Chandrasekhar, đã tweet rằng dữ liệu mà bot truy cập là từ “cơ sở dữ liệu về tác nhân đe dọa” và “có vẻ như ứng dụng hoặc cơ sở dữ liệu CoWIN không bị xâm phạm trực tiếp.”
MỘT báo cáo độc lập bởi nền tảng giám sát rủi ro kỹ thuật số CloudSEK dường như xác thực điều này ở một mức độ nào đó. Nghiên cứu của công ty cho thấy rằng thay vì có quyền truy cập vào toàn bộ cơ sở dữ liệu CoWIN hoặc chương trình phụ trợ, tin tặc có thể đã nắm giữ nhiều thông tin đăng nhập từ nhân viên y tế, cho phép họ truy cập hạn chế hơn vào hồ sơ.
[ad_2]
