Hükümet Pazartesi günü, CoWIN veri tabanının ihlal edildiği iddiasına ilişkin raporlara yanıt vererek, verilerin geçmişte çalınan bilgileri içeren farklı bir veri tabanından alınmış gibi göründüğünü belirtti. Yanıt, Telegram’daki otomatik bir botun, pandemi sırasında COVID aşısı olmak için CoWIN platformuna kaydolan kişilerin kişisel ayrıntılarını ortaya çıkardığını bildirdi. Hükümet ayrıca CoWIN uygulamasının veya veritabanının doğrudan ihlal edilmiş gibi görünmediğini iddia etti.
İddia edilen veri ihlali raporlarından saatler sonra Elektronik ve Teknolojiden Sorumlu Devlet Bakanı Rajeev Chandrasekhar, Twitter’da Hindistan Bilgisayar Acil Durum Müdahale Ekibinin (CERT-In) Pazartesi günü sosyal medyada ortaya çıkan ihlal raporlarına yanıt verdiğini ve bunları incelediğini söyledi. Bakan, bir telefon numarası girildiğinde bir Telegram botunun CoWIN uygulama ayrıntılarını paylaştığını belirtti. Botun keşfedilmesinden kısa bir süre sonra kaldırıldığı ve Pazartesi günü haber kaynaklarında yer aldığı bildirildi.
Sosyal medyada bildirilen bazı İddia Edilen Cowin veri ihlallerine atıfta bulunarak, @IndianCERT immdtly yanıt verdi n bunu inceledi
✅Bir Telegram Botu, telefon numaralarının girilmesi üzerine Cowin uygulamasının ayrıntılarını gösteriyordu
✅Bir tehdit aktörü veritabanından bot tarafından erişilen verilere, görünüşe göre…
— Rajeev Chandrasekhar 🇮🇳 (@Rajeev_GoI) 12 Haziran 2023
Chandrasekhar’a göre bot, bir tehdit aktörü veritabanındaki verilere erişiyordu. Bu veritabanında bulunan bilgiler, geçmişte daha eski bir ihlalden çalınan verilerden alınmış gibi görünüyor. Ancak bakan, başka bir devlet kuruluşu olup olmadığı, Pazartesi gününden önce tespit edilip edilmediği de dahil olmak üzere önceki ihlalin ek ayrıntılarını paylaşmadı. ve CERT-In tarafından ifşa edilip edilmediği.
Chandrasekhar, tweet’inde ayrıca CoWIN uygulamasının veya veritabanının doğrudan ihlal edilmiş gibi görünmediğini belirtti. Bakan, hem CoWIN uygulaması hem de web sitesi bir veri ihlalinden doğrudan etkilenmediğinde, platforma kaydolan kullanıcıların CoWIN ayrıntılarının nasıl mevcut olduğunun ayrıntılarını açıklamadı.
Bu arada hükümet basın açıklaması yaptı. belirten CoWIN veri erişiminin üç düzeyde mevcut olduğunu – aşı alıcısı, yetkili aşıcı ve yalnızca kullanıcı tek seferlik parola (OTP) kimlik doğrulaması yoluyla çalışan API tabanlı (uygulama programlama arabirimi) erişimi olan üçüncü taraf uygulamaları. Hükümet, platformun yetkili bir aşıcının CoWIN sistemine erişmeye yönelik her girişimini günlüğe kaydettiğini belirtiyor.
Hükümet ayrıca CoWIN platformundan alınan verilerin, aşı alıcısına OTP gönderilmeden otomatikleştirilmiş bir botla paylaşılamayacağını, çünkü böyle bir erişim düzeyine sahip genel bir API bulunmadığını belirtiyor. Benzer şekilde, sosyal medyada paylaşılan bot’un aşı alıcının doğum tarihi ile yanıt verdiğini gösteren paylaşımların aksine, sistem alıcının adresini kaydetmedi ve aşılama için yalnızca doğum yılını kaydetti.
CoWIN’in geliştirme ekibi ayrıca bazı API’lerin Hindistan Tıbbi Araştırma Konseyi (ICMR) gibi üçüncü taraflarla paylaşıldığını ve isteklerin yalnızca CoWIN uygulaması tarafından beyaz listeye alınan güvenilir bir API tarafından kabul edildiğini doğruladı – bu da verilere erişebilecek en az bir API olduğunu gösteriyor OTP olmadan. Hükümete göre, Birlik Sağlık Bakanlığı CERT-In’den konuyu araştırması ve bulguları hakkında bir rapor sunmasını istedi.