CoWIN veri ihlali iddiasıyla ilgili raporların ortaya çıkmasından saatler sonra, Hindistan hükümeti Sağlık Bakanlığı’nın CoWIN platformunun “tamamen güvenli” olduğunu belirterek iddiaları yalanladı.
İddia edilen CoWIN veri ihlali olayı, CoWIN portalına kayıtlı Hindistan vatandaşlarının kişisel bilgilerinin mesajlaşma uygulaması Telegram’da mevcut olduğunu belirtti.
Sağlık ve Aile Refahı Bakanlığı iddiaları yalanladı ve olayı ele alan ‘CoWIN veri ihlali’ başlıklı resmi bir rapor yayınladı.
“Bazı sosyal medya platformlarında ülkede COVID aşısı olan yararlanıcıların verilerinin ihlal edildiğini iddia eden bazı medya raporları var. Bu raporlar, COVID19’a karşı aşılanmış yararlanıcıların tüm verilerinin deposu olan Birlik Sağlık Bakanlığı’nın Co-WIN portalındaki verilerin ihlal edildiğini iddia etmektedir.”
“Sosyal medya platformu Twitter’da yapılan bazı paylaşımlarda Telegram (online messenger uygulaması) BOT kullanılarak aşı yaptıran kişilerin kişisel verilerine ulaşıldığı iddia edildi. BOT’un, bir yararlanıcının cep telefonu numarasını veya Aadhaar numarasını basitçe ileterek bireysel verileri çekebildiği bildirildi.”
Bu tür raporları “temelsiz” ve “doğası gereği yaramaz” olarak nitelendiren bakanlık, CoWIN portalının “veri gizliliği için yeterli korumayla tamamen güvenli” olduğunu açıkladı.
CoWIN Veri İhlali Hakkında Daha Fazlasını Buradan Okuyabilirsiniz
Güvenlik önlemi hakkında ayrıntılı bilgi verilen açıklamada, “Co-WIN portalında Web Uygulama Güvenlik Duvarı, Anti-DDoS, SSL/TLS, düzenli güvenlik açığı değerlendirmesi, Kimlik ve Erişim Yönetimi vb. güvenlik önlemleri bulunmaktadır. Yalnızca OTP kimlik doğrulaması- tabanlı veri erişimi sağlanmaktadır.
Açıklamada ayrıca, COWIN geliştirme ekibinin, OTP olmadan verilerin çekilebileceği hiçbir genel API’nin bulunmadığını doğruladığı açıklandı. Bununla birlikte, böyle bir API’nin, yalnızca Aadhaar’ın bir cep telefonu numarasını kullanarak arama yaparak verileri paylaşma özelliğine sahip olduğu detaylandırıldı.
Açıklamada, “Ancak bu API bile çok özeldir ve istekler yalnızca CoWIN uygulaması tarafından beyaz listeye alınan güvenilir bir API’den kabul edilir.”
CoWIN veri ihlali iddiasıyla ilgili spekülasyonların ardından Birlik Sağlık Bakanlığı, Hindistan Bilgisayar Acil Durum Müdahale Ekibinden (CERT-In) sorunu araştırmasını ve raporu sunmasını istedi.
Ancak CERT-In’in ilk raporu, Telegram botu için arka uç veritabanının doğrudan CoWIN veritabanının API’lerine erişmediğini belirtti.
CoWIN’in mevcut güvenlik önlemlerini gözden geçirmek için dahili bir soruşturma da başlatıldı.
CoWIN veri ihlali fiyaskosunu ne tetikledi?
12 Haziran’da birkaç Hintli medya kuruluşu, Hindistan’daki COVID-19 aşı kaydı için merkezi platform olan CoWIN portalının, milyarlarca kayıtlı kullanıcının verilerini istismara açık hale getiren büyük bir veri ihlaline maruz kaldığını bildirdi.
Kerala merkezli Malayala Manorama, yayınladığı raporda, bir kişinin numarası girildikten sonra ayrıntılara kolayca ulaşılabileceğini belirtti. Kayıtlı numaranın paylaştığı tüm detaylar bir Telegram botu aracılığıyla anında paylaşılıyordu.
İddiaya göre, ünlü siyasetçilerinkiler de dahil olmak üzere çok sayıda kişinin ayrıntıları ifşa edildi. Trinamool Kongresi (TMC) lideri Saket Gökhale sızdırılan ayrıntıları gösteren birkaç ekran görüntüsünü ilk paylaşanlar arasındaydı.
Bunlar arasında Hindistan’ın Eski Birlik Bakanı P. Chidambaram, Birlik Sağlık Bakanlığı Sekreteri Rajesh Bhushan ve eşi Uttarakhand Yasama Meclisi Üyesi Ritu Khanduri Bhushan, merkezi muhalefet liderleri Jairam Ramesh ve KC Venugopal ve diğerleri yer alıyor.