[ad_1]
À tarde Em 11 de junho, um jornalista do portal de notícias The Fourth, com sede em Kerala, informou que um bot do Telegram em um canal chamado “hak4learn” estava oferecendo acesso aos dados privados de milhões de indianos. Tudo o que o usuário precisava fazer era inserir um número de telefone ou número Aadhaar (identidade nacional da Índia) e ele retornaria detalhes como nome, número do passaporte e data de nascimento. Os dados parecem ter vindo do aplicativo de rastreamento de vacinação CoWIN da Índia, que tem mais de 1 bilhão de usuários registrados.
“A escala da violação de dados é o que torna difícil adivinhar as repercussões”, diz Srikanth Lakshmanan, pesquisador que dirige o coletivo de pagamentos digitais Cashless Consumer. “Estimativas conservadoras significam que pelo menos dados pessoais de várias centenas de milhões de usuários foram expostos.”
Os meios de comunicação locais conseguiram usar o bot para acessar as informações pessoais dos políticos. A WIRED não pôde verificar independentemente seus relatórios; na manhã de 12 de junho, o bot estava inativo. O fato de ter fechado não significa que a violação acabou, diz Lakshmanan, já que o bot provavelmente era apenas uma vitrine para quem acessou o banco de dados.
“Normalmente, os hackers revelam uma fatia de dados publicamente por meio de um bot ou página da web para provar ao mundo que eles disseram os dados e depois os vendem na dark web”, diz Lakshmanan. “Enquanto o bot está inoperante agora, não sabemos onde todos os dados estão sendo negociados.”
A infraestrutura pública digital da Índia se expandiu enormemente nos últimos anos, com a crescente popularidade do sistema de identidade Aadhaar, a proliferação do sistema de pagamentos digitais United Payments Interface e o lançamento do CoWIN.
Esse crescimento significa que há uma grande quantidade de dados públicos arquivados, mas os especialistas em direitos digitais temem que a segurança cibernética e as estruturas legais em torno do armazenamento de dados não tenham acompanhado o crescimento.
“Os dados envolvidos com entidades governamentais são organicamente muito grandes”, diz Tejasi Panjiar, advogado associado da Internet Freedom Foundation, uma organização que defende os direitos digitais. “É por isso que é preciso haver padrões de segurança de dados muito rígidos para entidades governamentais.”
Panjiar disse ainda que a preocupação é que a Índia não tem uma política de segurança cibernética e que mesmo a atual estrutura de proteção de dados “retira o aspecto da compensação que os usuários afetados receberiam”, tornando esses vazamentos um motivo de preocupação ainda maior. “Acho que é um momento de preocupação para todos os que foram vacinados por meio do CoWIN”, acrescentou Panjiar.
O ministério da saúde disse que as alegações de que o portal CoWIN foi violado são “sem qualquer fundamento” e que a equipe de resposta a emergências de computador, a agência responsável por responder a incidentes de segurança cibernética, foi solicitada a investigar.
O ministro de TI da Índia, Rajeev Chandrasekhar, twittou que os dados acessados pelo bot são de um “banco de dados de agentes de ameaças” e que “não parece que o aplicativo ou banco de dados CoWIN tenha sido violado diretamente”.
Um relatório independente da plataforma de monitoramento de riscos digitais CloudSEK parece validar isso até certo ponto. A pesquisa da empresa sugere que, em vez de ter acesso a todo o banco de dados ou back-end do CoWIN, os hackers podem ter obtido várias credenciais dos profissionais de saúde, permitindo-lhes acesso mais limitado aos registros.
[ad_2]
Matéria ORIGINAL wired