نقض داده های CoWIN: دولت پاسخ می دهد، می گوید هیچ نقض مستقیمی از برنامه یا پایگاه داده CoWIN وجود ندارد

3 مهر 140222 خرداد 1402 از بیل گیتس

تیم توسعه CoWIN همچنین تأیید کرد که برخی از API ها با اشخاص ثالث مانند شورای تحقیقات پزشکی هند (ICMR) به اشتراک گذاشته شده است و درخواست ها فقط توسط یک API مورد اعتماد که در لیست سفید برنامه CoWIN قرار گرفته است پذیرفته می شود – که نشان می دهد حداقل یک API وجود دارد که می تواند به داده ها دسترسی داشته باشد. بدون OTP به گفته دولت، وزارت بهداشت اتحادیه از CERT-In خواسته است تا این موضوع را بررسی کند و گزارشی از یافته های خود ارائه کند.

اپل در کنفرانس سالانه توسعه دهندگان خود از اولین هدست واقعیت ترکیبی خود، Apple Vision Pro، به همراه مدل های جدید مک و به روز رسانی های نرم افزاری آتی رونمایی کرد. ما درباره همه مهم‌ترین اعلامیه‌های این شرکت در WWDC 2023 در Orbital، پادکست Gadgets 360 صحبت می‌کنیم. Orbital در Spotify، Gaana، JioSaavn، Google Podcasts، Apple Podcasts، Amazon Music و هر جایی که پادکست های خود را دریافت می کنید در دسترس است.

پیوندهای وابسته ممکن است به طور خودکار ایجاد شوند – برای جزئیات بیشتر به بیانیه اخلاقی ما مراجعه کنید.

منبع

✅داده هایی که توسط ربات از پایگاه داده عامل تهدید قابل دسترسی است، که به نظر می رسد…

— راجیو چاندراسخار 🇮🇳 (@Rajeev_GoI) 12 ژوئن 2023

دولت همچنین بیان می‌کند که داده‌های پلتفرم CoWIN را نمی‌توان در یک ربات خودکار بدون ارسال OTP به گیرنده واکسن به اشتراک گذاشت، زیرا هیچ API عمومی با چنین سطح دسترسی وجود نداشت. به طور مشابه، این سیستم آدرس گیرنده را ثبت نمی کند و تنها سال تولد را برای واکسیناسیون ثبت می کند، برخلاف پست هایی که در رسانه های اجتماعی به اشتراک گذاشته شده است که نشان می دهد ربات با تاریخ تولد گیرنده واکسن پاسخ داده است.

ساعاتی پس از گزارش‌هایی مبنی بر نقض ادعایی داده‌ها، راجیو چاندراسخار، وزیر امور الکترونیک و فناوری در توییتر اعلام کرد که تیم واکنش اضطراری رایانه‌ای هند (CERT-In) پاسخ داده و گزارش‌های نقض‌هایی را که روز دوشنبه در رسانه‌های اجتماعی منتشر شده بود، بررسی کرده است. وزیر اظهار داشت که یک ربات تلگرام در حال اشتراک گذاری جزئیات برنامه CoWIN بود که شماره تلفن وارد شد. گزارش شده است که این ربات اندکی پس از کشف و پوشش خبری آن توسط خبرگزاری ها در روز دوشنبه حذف شد.

✅یک ربات تلگرامی با وارد کردن شماره تلفن، جزئیات برنامه Cowin را منتشر می کرد

به گفته چاندراسخار، این ربات به داده های یک پایگاه داده عامل تهدید دسترسی داشت. به نظر می‌رسد اطلاعات موجود در این پایگاه داده از داده‌هایی که در گذشته به دلیل نقض قدیمی‌تر به سرقت رفته بودند، به دست آمده باشد. با این حال، وزیر جزئیات بیشتری از نقض قبلی، از جمله اینکه آیا این یک نهاد دولتی دیگر است، یا اینکه آیا قبل از دوشنبه شناسایی شده است، به اشتراک نمی گذارد. و اینکه آیا توسط CERT-In فاش شده است یا خیر.

در همین حال، دولت بیانیه‌ای مطبوعاتی منتشر کرد که در آن بیان کرد که دسترسی به داده‌های CoWIN در سه سطح در دسترس است – گیرنده واکسن، واکسین‌کننده مجاز، و برنامه‌های شخص ثالثی که دسترسی مبتنی بر API (رابط برنامه‌نویسی برنامه) دارند که فقط از طریق کاربر یک کار می‌کند. احراز هویت رمز عبور زمانی (OTP). دولت بیان می‌کند که پلتفرم هر تلاش واکسیناتور مجاز برای دسترسی به سیستم CoWIN را ثبت می‌کند.

چاندراسخار در توییت خود همچنین اظهار داشت که به نظر نمی رسد که برنامه یا پایگاه داده CoWIN مستقیماً نقض شده باشد. وزیر جزئیات مربوط به نحوه دسترسی به جزئیات CoWIN کاربرانی که در این پلتفرم ثبت‌نام کرده‌اند در زمانی که برنامه و وب‌سایت CoWIN مستقیماً تحت تأثیر نقض داده قرار نگرفته‌اند را فاش نکرده است.

دولت روز دوشنبه به گزارش‌های ادعایی نقض داده‌ها در پایگاه داده CoWIN پاسخ داد و اظهار داشت که به نظر می‌رسد این داده‌ها از پایگاه داده دیگری حاوی اطلاعات سرقت شده در گذشته منبع گرفته شده است. این پاسخ به دنبال گزارش‌هایی است مبنی بر اینکه یک ربات خودکار در تلگرام در حال نمایش اطلاعات شخصی افرادی است که در پلتفرم CoWIN برای دریافت واکسن کووید در طول همه‌گیری جهانی ثبت‌نام کرده‌اند. دولت همچنین ادعا کرده است که به نظر نمی رسد که برنامه یا پایگاه داده CoWIN مستقیماً نقض شده باشد.
با توجه به برخی نقض‌های اطلاعاتی ادعایی Cowin که در رسانه‌های اجتماعی گزارش شده است، @IndianCERT بلافاصله پاسخ داده است و این را بررسی کرده است