ردت الحكومة يوم الاثنين على تقارير عن انتهاك مزعوم للبيانات لقاعدة بيانات CoWIN ، مشيرة إلى أنه يبدو أن البيانات قد تم الحصول عليها من قاعدة بيانات مختلفة تحتوي على معلومات مسروقة في الماضي. جاء الرد بعد تقارير تفيد بأن روبوتًا آليًا على Telegram كان يعرض التفاصيل الشخصية للأشخاص الذين سجلوا في منصة CoWIN لتلقي لقاحات COVID أثناء الوباء. زعمت الحكومة أيضًا أنه لا يبدو أن تطبيق CoWIN أو قاعدة البيانات قد تم اختراقها بشكل مباشر.
بعد ساعات من ورود تقارير عن انتهاك مزعوم للبيانات ، صرح وزير الدولة للإلكترونيات والتكنولوجيا راجيف شاندراسيخار على تويتر أن فريق الاستجابة لطوارئ الكمبيوتر الهندي (CERT-In) قد استجاب وراجع تقارير الانتهاكات التي ظهرت على وسائل التواصل الاجتماعي يوم الاثنين. صرح الوزير أن روبوت Telegram كان يشارك تفاصيل تطبيق CoWIN عند إدخال رقم الهاتف. وبحسب ما ورد تم حذف الروبوت بعد وقت قصير من اكتشافه وتغطيته من قبل وسائل الإعلام يوم الاثنين.
مع المرجع إلى بعض انتهاكات بيانات كوين المزعومة التي تم الإبلاغ عنها على وسائل التواصل الاجتماعي ، تضمين التغريدة لقد أجاب بشكل جيد ن راجع هذا
كان Telegram Bot يقوم بإلقاء تفاصيل تطبيق Cowin عند إدخال أرقام الهواتف
✅ البيانات التي يتم الوصول إليها بواسطة الروبوت من قاعدة بيانات جهات التهديد ، والتي يبدو أنها …
– راجيف شاندراسيخار 🇮🇳 (Rajeev_GoI) 12 يونيو 2023
وفقًا لـ Chandrasekhar ، كان الروبوت يصل إلى البيانات من قاعدة بيانات جهات التهديد. يبدو أن المعلومات المتاحة في قاعدة البيانات هذه قد تم الحصول عليها من البيانات المسروقة في الماضي من خرق أقدم. إلا أن الوزير لم يكشف تفاصيل إضافية عن الخرق السابق ، بما في ذلك ما إذا كانت جهة حكومية أخرى ، وما إذا تم الكشف عنها قبل يوم الاثنين. وما إذا تم الكشف عنها بواسطة CERT-In.
في تغريدته ، ذكر Chandrasekhar أيضًا أنه لا يبدو أن تطبيق CoWIN أو قاعدة البيانات قد تم اختراقهما بشكل مباشر. لم يكشف الوزير عن تفاصيل حول كيفية إتاحة تفاصيل CoWIN للمستخدمين الذين سجلوا في النظام الأساسي عندما لا يتأثر كل من تطبيق CoWIN وموقع الويب بشكل مباشر بخرق البيانات.
في غضون ذلك ، أصدرت الحكومة بيانا صحفيا يذكر أن الوصول إلى بيانات CoWIN كان متاحًا على ثلاثة مستويات – متلقي اللقاح ، والمُلقِح المعتمد ، وتطبيقات الطرف الثالث التي لديها وصول قائم على API (واجهة برمجة التطبيقات) يعمل فقط عبر مصادقة كلمة مرور المستخدم لمرة واحدة (OTP). تنص الحكومة على أن المنصة تسجل كل محاولة يقوم بها المُلقِّح المعتمد للوصول إلى نظام CoWIN.
تنص الحكومة أيضًا على أنه لا يمكن مشاركة البيانات من منصة CoWIN إلى روبوت آلي دون إرسال OTP إلى متلقي اللقاح نظرًا لعدم وجود واجهة برمجة تطبيقات عامة بهذا المستوى من الوصول. وبالمثل ، لم يسجل النظام عنوان المستلم ولم يسجل سوى سنة الميلاد للتطعيم ، على عكس المنشورات التي تم نشرها على وسائل التواصل الاجتماعي والتي تُظهر أن الروبوت استجاب بتاريخ ميلاد متلقي اللقاح.
أكد فريق تطوير CoWIN أيضًا أن بعض واجهات برمجة التطبيقات تمت مشاركتها مع أطراف ثالثة مثل المجلس الهندي للبحوث الطبية (ICMR) ولم يتم قبول الطلبات إلا من خلال واجهة برمجة تطبيقات موثوق بها مدرجة في القائمة البيضاء بواسطة تطبيق CoWIN – مما يشير إلى وجود واجهة برمجة تطبيقات واحدة على الأقل يمكنها الوصول إلى البيانات بدون OTP. طلبت وزارة الصحة الاتحادية من CERT-In التحقيق في المشكلة وتقديم تقرير عن النتائج التي توصل إليها ، وفقًا للحكومة.
