Akşamleyin 11 Haziran’da Kerala merkezli The Fourth haber portalından bir gazeteci, “hak4learn” adlı bir kanaldaki bir Telegram botunun milyonlarca Kızılderilinin özel verilerine erişim sağladığını bildirdi. Bir kullanıcının yapması gereken tek şey bir telefon numarası veya Aadhaar (Hindistan’ın ulusal kimliği) numarasını girmekti ve ad, pasaport numarası ve doğum tarihi gibi ayrıntıları döndürürdü. Veriler, 1 milyardan fazla kayıtlı kullanıcısı olan Hindistan’ın CoWIN aşı takip uygulamasından alınmış gibi görünüyor.
Dijital ödemeler topluluğu Cashless Consumer’i yöneten araştırmacı Srikanth Lakshmanan, “Veri ihlalinin boyutu, sonuçlarını tahmin etmeyi zorlaştırıyor” diyor. “İhtiyatlı tahminler, en azından birkaç yüz milyon kullanıcının kişisel verilerinin açığa çıktığı anlamına geliyor.”
Yerel haber kaynakları, politikacıların kişisel bilgilerine erişmek için botu kullanabildi. WIRED, raporlarını bağımsız olarak doğrulayamadı; 12 Haziran sabahı bot devre dışıydı. Lakshmanan, kapatılmış olmasının ihlalin sona erdiği anlamına gelmediğini, çünkü botun muhtemelen veritabanına erişen herkes için bir vitrin olduğunu söylüyor.
Lakshmanan, “Genellikle bilgisayar korsanları, söz konusu verilere sahip olduklarını dünyaya kanıtlamak ve ardından bunu karanlık ağda satmak için bir bot veya web sayfası aracılığıyla bir veri dilimini herkese açık bir şekilde ifşa eder” diyor. “Bot şu anda çalışmıyorken, tüm verilerin nerede alınıp satıldığını bilmiyoruz.”
Hindistan’ın dijital kamu altyapısı, Aadhaar kimlik sisteminin artan popülaritesi, dijital ödeme sistemi United Payments Interface’in yaygınlaşması ve CoWIN’in piyasaya sürülmesiyle son birkaç yılda büyük ölçüde genişledi.
Bu büyüme, dosyada çok büyük miktarda kamu verisi olduğu anlamına geliyor, ancak dijital haklar uzmanları, veri depolamayla ilgili siber güvenlik ve yasal çerçevelerin büyümeye ayak uyduramadığından endişe ediyor.
Dijital hakları savunan bir kuruluş olan İnternet Özgürlüğü Vakfı’nın yardımcı danışmanı Tejasi Panjiar, “Devlet kurumlarıyla ilgili veriler organik olarak çok büyük” diyor. “İşte bu yüzden devlete dayalı kuruluşlar için çok katı veri güvenliği standartları olması gerekiyor.”
Panjiar ayrıca, endişenin Hindistan’ın bir siber güvenlik politikasına sahip olmaması ve mevcut veri koruma çerçevesinin bile “etkilenen kullanıcıların alacağı tazminatın bu yönünü ortadan kaldırması” olduğunu ve bu tür sızıntıları daha da büyük bir endişe kaynağı haline getirdiğini söyledi. Panjiar, “CoWIN yoluyla aşılanan herkes için endişelenme zamanı olduğunu düşünüyorum” diye ekledi.
Sağlık bakanlığı, CoWIN portalının ihlal edildiği iddialarının “temelsiz” olduğunu ve siber güvenlik olaylarına müdahale etmekten sorumlu kurum olan Bilgisayar Acil Müdahale Ekibinden soruşturmanın istendiğini söyledi.
Hindistan’ın BT bakanı Rajeev Chandrasekhar, bot tarafından erişilen verilerin bir “tehdit aktörü veritabanından” geldiğini ve “CoWIN uygulamasının veya veritabanının doğrudan ihlal edilmiş gibi görünmediğini” tweetledi.
Dijital risk izleme platformu CloudSEK tarafından hazırlanan bağımsız bir rapor, bunu bir dereceye kadar doğruluyor gibi görünüyor. Şirketin araştırması, bilgisayar korsanlarının tüm CoWIN veritabanına veya arka uca erişim sağlamak yerine, sağlık çalışanlarından birden çok kimlik bilgisini ele geçirerek kayıtlara daha sınırlı erişim sağlamalarını öneriyor.