0
0
À NOITE Em 11 de junho, um jornalista do portal de notícias The Fourth, com sede em Kerala, relatou que um bot do Telegram em um canal chamado “hak4learn” estava oferecendo acesso a dados privados de milhões de indianos. Tudo o que um usuário tinha que fazer era colocar um número de telefone ou Aadhaar (ID nacional da Índia), e ele retornaria detalhes, incluindo seu nome, número de passaporte e data de nascimento. Os dados parecem ter vindo do aplicativo de rastreamento de vacinação CoWIN da Índia, que tem mais de 1 bilhão de usuários registrados.
“A escala da violação de dados é o que torna difícil adivinhar as repercussões”, diz Srikanth Lakshmanan, pesquisador que dirige o coletivo de pagamentos digitais Cashless Consumer. “Estimativas conservadoras significam que pelo menos dados pessoais de várias centenas de milhões de usuários foram expostos.”
Veículos de imprensa locais conseguiram usar o bot para acessar informações pessoais de políticos. A WIRED não pôde verificar seus relatórios de forma independente; na manhã de 12 de junho, o bot estava inativo. O fato de ter fechado não significa que a violação acabou, diz Lakshmanan, já que o bot provavelmente era apenas uma vitrine para quem acessou o banco de dados.
“Normalmente, os hackers revelam uma fatia de dados publicamente por meio de um bot ou página da web para provar ao mundo que eles têm esses dados e, em seguida, vendê-los na dark web”, diz Lakshmanan. “Embora o bot esteja fora do ar agora, não sabemos onde todos os dados estão sendo negociados.”
A infraestrutura pública digital da Índia se expandiu massivamente nos últimos anos, com a crescente popularidade do sistema de identidade Aadhaar, a proliferação do sistema de pagamentos digitais United Payments Interface e o lançamento do CoWIN.
Esse crescimento significa que há uma grande quantidade de dados públicos em arquivo, mas especialistas em direitos digitais temem que a segurança cibernética e as estruturas legais em torno do armazenamento de dados não tenham acompanhado o crescimento.
“Os dados envolvidos com entidades governamentais são organicamente muito grandes”, diz Tejasi Panjiar, advogado associado da Internet Freedom Foundation, uma organização que defende os direitos digitais. “É por isso que precisa haver padrões de segurança de dados muito rígidos para entidades governamentais.”
Panjiar disse ainda que a preocupação é que a Índia não tenha uma política de segurança cibernética e que mesmo a atual estrutura de proteção de dados “retire esse aspecto de compensação que os usuários afetados receberiam”, tornando esses vazamentos um motivo ainda maior de preocupação. “Acho que é um momento de preocupação para todos que foram vacinados através do CoWIN”, acrescentou Panjiar.
O Ministério da Saúde disse que as alegações de que o portal CoWIN foi violado são “sem qualquer fundamento” e que a Equipe de Resposta a Emergências Informáticas, órgão responsável por responder a incidentes de cibersegurança, foi solicitada a investigar.
O ministro de TI da Índia, Rajeev Chandrasekhar, tuitou que os dados acessados pelo bot são de um “banco de dados de atores de ameaças” e que “não parece que o aplicativo ou banco de dados CoWIN tenha sido diretamente violado”.
Um relatório independente da plataforma de monitoramento de risco digital CloudSEK parece validar isso até certo ponto. A pesquisa da empresa sugere que, em vez de ter acesso a todo o banco de dados ou back-end do CoWIN, os hackers podem ter obtido várias credenciais de profissionais de saúde, permitindo-lhes acesso mais limitado aos registros.
“O que a CloudSEK sabe com alta confiança é que os agentes de ameaças têm acesso a várias credenciais que pertencem aos profissionais de saúde que podem ser usadas para acessar o portal CoWIN para esses profissionais de saúde individuais e os dados aos quais eles têm acesso”, diz Rahul Sasi, presidente-executivo da CloudSEK. “O que também especulamos é algum tipo de API não autenticada que teria permitido que os invasores consultassem detalhes específicos do usuário. Mas não há provas neste momento.”
O CoWIN foi lançado em janeiro de 2021 como a base da campanha de vacinação da Índia. A plataforma, que também estava disponível como um aplicativo móvel, era usada pelas pessoas para agendar suas vagas de vacinação e gerar um certificado de vacinação para si e seus familiares. O governo na época foi criticado por tornar o CoWIN a única maneira de os indianos marcarem uma consulta de vacinação, excluindo milhões que não tinham acesso a um smartphone ou à internet.
Esta não é a primeira vez que a notícia de um banco de dados CoWIN vem à tona. Em 2021, o Dark Leak Market, um grupo de hackers, disse ter acesso aos dados de 150 milhões de indianos registrados no CoWIN. O Ministério da Saúde negou as acusações, dizendo que a plataforma armazena “todos os dados em um ambiente digital seguro e protegido”. Na época, pesquisadores de segurança cibernética disseram suspeitar que o “vazamento” fosse um golpe.
FONTE: WIRED