Das Gesundheitsministerium hat Berichte über Datenschutzverletzungen zurückgewiesen Cowin Website, die auf einigen Social-Media-Plattformen erschienen ist. In diesen Berichten wird ein Verstoß gegen Daten des Cowin-Portals behauptet Gewerkschaftsgesundheitsministerium, einem Speicherort aller Daten von Leistungsempfängern, die gegen Covid19 geimpft wurden. Cowin wurde entwickelt und ist Eigentum des Ministeriums für Gesundheit und Familienfürsorge und wird von diesem verwaltet. In bestimmten Beiträgen auf der Social-Media-Plattform Twitter wurde behauptet, dass mithilfe eines Telegram-Bots (Online-Messenger-Anwendung) auf die persönlichen Daten von Personen zugegriffen werden könne, die geimpft wurden. Es wird berichtet, dass der Bot in der Lage war, individuelle Daten abzurufen, indem er einfach die Mobiltelefonnummer oder Aadhaar-Nummer eines Begünstigten weitergab.
Das Ministerium stellte klar, dass alle derartigen Berichte jeder Grundlage entbehren und böswilliger Natur seien. Das Cowin-Portal des Gesundheitsministeriums ist absolut sicher und bietet angemessene Schutzmaßnahmen für den Datenschutz. Darüber hinaus sind auf dem Cowin-Portal Sicherheitsmaßnahmen mit Web Application Firewall, Anti-DDoS, SSL/TLS, regelmäßiger Schwachstellenbewertung, Identitäts- und Zugriffsverwaltung usw. vorhanden. Der Zugriff auf Daten erfolgt ausschließlich auf OTP-Authentifizierungsbasis. Weiter hieß es, dass alle Schritte unternommen wurden und werden, um die Sicherheit der Daten im Cowin-Portal zu gewährleisten.
IT-Minister Rajeev Chandrasekhar Auch der mutmaßliche Datenhack wurde bestritten. In einem Tweet wies er auf vier Dinge hin, die seine Aussage stützen. „Mit Verweis auf einige Angeblicher Cowin Nachdem in den sozialen Medien Datenschutzverletzungen gemeldet wurden, hat @IndianCERT umgehend reagiert und dies überprüft
✅Ein Telegram-Bot hat sich übergeben Cowin-App Details bei Eingabe der Telefonnummern
✅Die Daten, auf die der Bot aus einer Datenbank von Bedrohungsakteuren zugreift, scheinen mit zuvor gestohlenen Daten gefüllt zu sein.
✅Es scheint nicht, dass die Cowin-App oder -Datenbank direkt gehackt wurde
✅Die nationale Data-Governance-Richtlinie wurde fertiggestellt, die einen gemeinsamen Rahmen für Datenspeicher-, Zugriffs- und Sicherheitsstandards in der gesamten Regierung schaffen wird.“
Derzeit ist der Cowin-Datenzugriff auf drei Ebenen verfügbar:
* Begünstigten-Dashboard: Die geimpfte Person kann über eine registrierte Mobiltelefonnummer mit OTP-Authentifizierung auf die Cowin-Daten zugreifen.
* Autorisierter Cowin-Benutzer: Der Impfarzt kann mit den bereitgestellten authentischen Anmeldedaten auf persönliche Daten der geimpften Begünstigten zugreifen. Aber das Cowin-System verfolgt und zeichnet jedes Mal auf, wenn ein autorisierter Benutzer auf das Cowin-System zugreift.
* API-basierter Zugriff: Die Drittanbieteranwendungen, denen autorisierter Zugriff auf Co-WIN-APIs gewährt wurde, können nur über die OTP-Authentifizierung des Begünstigten auf personenbezogene Daten geimpfter Begünstigter zugreifen.
Das Ministerium stellte klar, dass alle derartigen Berichte jeder Grundlage entbehren und böswilliger Natur seien. Das Cowin-Portal des Gesundheitsministeriums ist absolut sicher und bietet angemessene Schutzmaßnahmen für den Datenschutz. Darüber hinaus sind auf dem Cowin-Portal Sicherheitsmaßnahmen mit Web Application Firewall, Anti-DDoS, SSL/TLS, regelmäßiger Schwachstellenbewertung, Identitäts- und Zugriffsverwaltung usw. vorhanden. Der Zugriff auf Daten erfolgt ausschließlich auf OTP-Authentifizierungsbasis. Weiter hieß es, dass alle Schritte unternommen wurden und werden, um die Sicherheit der Daten im Cowin-Portal zu gewährleisten.
IT-Minister Rajeev Chandrasekhar Auch der mutmaßliche Datenhack wurde bestritten. In einem Tweet wies er auf vier Dinge hin, die seine Aussage stützen. „Mit Verweis auf einige Angeblicher Cowin Nachdem in den sozialen Medien Datenschutzverletzungen gemeldet wurden, hat @IndianCERT umgehend reagiert und dies überprüft
✅Ein Telegram-Bot hat sich übergeben Cowin-App Details bei Eingabe der Telefonnummern
✅Die Daten, auf die der Bot aus einer Datenbank von Bedrohungsakteuren zugreift, scheinen mit zuvor gestohlenen Daten gefüllt zu sein.
✅Es scheint nicht, dass die Cowin-App oder -Datenbank direkt gehackt wurde
✅Die nationale Data-Governance-Richtlinie wurde fertiggestellt, die einen gemeinsamen Rahmen für Datenspeicher-, Zugriffs- und Sicherheitsstandards in der gesamten Regierung schaffen wird.“
Derzeit ist der Cowin-Datenzugriff auf drei Ebenen verfügbar:
* Begünstigten-Dashboard: Die geimpfte Person kann über eine registrierte Mobiltelefonnummer mit OTP-Authentifizierung auf die Cowin-Daten zugreifen.
* Autorisierter Cowin-Benutzer: Der Impfarzt kann mit den bereitgestellten authentischen Anmeldedaten auf persönliche Daten der geimpften Begünstigten zugreifen. Aber das Cowin-System verfolgt und zeichnet jedes Mal auf, wenn ein autorisierter Benutzer auf das Cowin-System zugreift.
* API-basierter Zugriff: Die Drittanbieteranwendungen, denen autorisierter Zugriff auf Co-WIN-APIs gewährt wurde, können nur über die OTP-Authentifizierung des Begünstigten auf personenbezogene Daten geimpfter Begünstigter zugreifen.
Das Gesundheitsministerium bittet CERT-In, die Sicherheit zu überprüfen
Das Gesundheitsministerium der Union hat Indiens zentrale Cybersicherheitsbehörde – das Computer Emergency Response Team (CERT-In) – gebeten, die mutmaßliche Sicherheitsverletzung zu untersuchen und einen Bericht einzureichen. Darüber hinaus wurde eine interne Übung zur Überprüfung der bestehenden Sicherheitsmaßnahmen von Cowin eingeleitet. CERT-In hat in seinem ersten Bericht darauf hingewiesen, dass die Backend-Datenbank für den Telegram-Bot nicht direkt auf die APIs der CoWIN-Datenbank zugreift.