Ethisches Hacken: Warum Indien digitale Whistleblower schützen muss

Ein in einem staatlichen Gesundheitsportal im vergangenen Jahr entdeckter Fehler ließ Daten von fast zwei Millionen indischen Patienten unbewacht. Die Erholung hat die Notwendigkeit unterstrichen, ethisches Hacken in einem Land zu fördern, das seine Infrastruktur rasch digitalisiert, schreibt Nilesh Christopher.

Vor einem Jahr hat Indiens staatliches Gesundheitsportal, auf dem Benutzer Online-Termine in staatlichen Krankenhäusern buchen können, einen Teil seiner Website freigelegt.

Dies bedeutete, dass die persönlichen Daten und Gesundheitsinformationen von fast zwei Millionen Benutzern durchgesickert sein könnten.

Der Sicherheitsforscher Avinash Jain entdeckte im August 2018 die Sicherheitslücke im Online Registration System (ORS).

Er konnte auf Details wie den vollständigen Namen, die Adresse, das Alter, die Mobiltelefonnummer, den Verlauf der über das Portal vorgenommenen Termine, die Patienten-ID, die partielle Aadhaar-Nummer (eine eindeutige biometrische Identifikationsnummer) und Details zu Krankheiten zugreifen, die eine Person befallen.

“Der Fehler hätte es jedem Angreifer ermöglicht, auf Details von Patienten zuzugreifen, die einen Termin in einem der 237 registrierten [Regierungs-] Krankenhäuser gebucht hatten”, sagte Jain.

Zu diesem Zeitpunkt berichtete er dem indischen Computer Emergency Response Team (CERT-In) über die Sicherheitslücke, und der Fehler im Regierungsportal wurde im Oktober letzten Jahres behoben. CERT-In ist ein Büro im Ministerium für Elektronik und Informationstechnologie, das sich mit Cybersicherheitsbedrohungen befasst.

Dieser Korrespondent hat die E-Mail-Korrespondenz zwischen dem Forscher und CERT-In vom letzten Jahr gesehen.

Laut Jain hat der Vorfall die Notwendigkeit unterstrichen, ethisches Hacken in Indien zu fördern.

Im Jahr 2015 startete das Land das ORS-Gesundheitsportal, mit dem Benutzer auf einfache Weise Online-Termine buchen und lange Warteschlangen in staatlichen Krankenhäusern überspringen können.

Jeder indische Benutzer kann mithilfe seiner biometrischen Identifikationsnummer einen Termin auf dem Portal buchen.

Es war eine einfache Sicherheitslücke, bei der Herr Jain durch Manipulation der Patienten-ID, die mit einem bestimmten Benutzer auf dem Portal verknüpft ist, Zugang zu medizinischen und persönlichen Daten mehrerer anderer bei ORS registrierter Personen erhalten konnte.

“Durch den Fehler konnten Angreifer nicht nur auf die Termindetails eines Patienten zugreifen, sondern auch Termine absagen, die in bestimmten Krankenhäusern eingerichtet wurden”, sagte Jain.

Um die Schwere des Fehlers zu überprüfen, suchte er sich Indiens größtes Regierungskrankenhaus – das All India Institute of Medical Sciences (AIIMS) in Delhi – aus, um herauszufinden, ob er Einzelheiten über Patienten herausfischen konnte.

Er fand mehr als 18.000 Patientendaten, die zum führenden Krankenhaus gehörten, und “konnte auf die Details der Termine zugreifen, die zu einem bestimmten Datum und zu einer bestimmten Uhrzeit seit dem Start des Dienstes gemacht wurden”.

Dieser Korrespondent konnte nicht unabhängig überprüfen, ob der Fehler ausgenutzt wurde und ob in den drei Jahren zwischen 2015 und 2018, als die Sicherheitsanfälligkeit endgültig behoben wurde, Daten gestohlen wurden.

“Gestohlene Patientenakten werden im Internet zum 10-fachen des Wertes von Kreditkarteninformationen verkauft”, sagte Rajesh Maurya, ein Cybersicherheitsanalytiker.

“Diese gestohlenen Patienteninformationen werden in der Regel von Einzelpersonen an diejenigen verkauft, die damit falsche Versicherungsansprüche geltend machen, eingeschränkte Medikamente verschreiben, die Verschreibung eines anderen in die Hände bekommen oder sie als Patientenprofil im Internet verkaufen, um medizinische Dienste in Anspruch zu nehmen.” Maurya fügte hinzu.

Die globale Gesundheitsbranche, die wichtige Patientendaten verwaltet, war oft ein Hauptziel für Cyberkriminelle.

Letztes Jahr war die Regierung von Singapur einem weithin bekannten Verstoß ausgesetzt, bei dem 1,5 Millionen Menschen über ihre Gesundheit informiert wurden. Der britische Gesundheitsdienstleister National Health Service (NHS) hatte im vergangenen Jahr einen Datenverstoß, von dem mehr als 150.000 Patienten betroffen waren.

Während es Hacker gibt, die Bugs ausnutzen und sich illegalen Zugang zu Daten verschaffen, werden ethische Hacker wie er, die verantwortungsbewusst kritische Bugs aufdecken, nicht immer geschätzt.

“Die indische Regierung schätzt erfahrene Bugs-Jäger nicht – trotz der Tatsache, dass wir dazu beitragen, die Datensicherheit zu erhöhen”, fügte er hinzu.

Auf Hacker-Konferenzen in Indien wird häufig über die rechtlichen Risiken der Offenlegung von Sicherheitslücken diskutiert – insbesondere, wenn der Fehler im Zusammenhang mit Regierungsbehörden steht.

“Sicherheitslücken haben Regierungsbehörden dazu veranlasst, Mitteilungen zu veröffentlichen und in einigen Fällen sogar Beschwerden gegen Forscher zu registrieren. Das Risiko von rechtlichen Auswirkungen besteht immer”, sagte Apar Gupta von der Internet Freedom Foundation, einem gemeinnützigen Wachhund.

Da Indien versucht, einen großen Teil seiner Infrastruktur zu digitalisieren und Regierungsdienste für mehrere seiner E-Governance-Initiativen online verfügbar zu machen, steigt das Risiko von Cyberangriffen auf Portale, auf denen vertrauliche Benutzerinformationen gehostet werden.

Laut Informationen, die CERT-In gemeldet und verfolgt hat, wurden 2019 mehr als 300.000 Cybersicherheitsvorfälle gemeldet – ein deutlicher Anstieg gegenüber 50.362 Vorfällen im Jahr 2016.

Hier gewinnen Sicherheitsforscher oder ethische Hacker zunehmend an Bedeutung, da sie vor möglichen Angriffen und Zugriffslücken in der digitalen Infrastruktur schützen können.

Srinivas Kodali, ein Sicherheitsforscher, der Mängel in der indischen Behörde für die Identifizierung von Forschern aufgedeckt hat, sagt, die Beziehung zwischen der indischen Regierung und Forschern sei “kompliziert”.

“Sie [die Regierung] beheben das Problem immer, wenn es sich um einen kritischen Fehler handelt. Aber sie können es Ihnen mitteilen oder nicht. Manchmal sind sie dankbar und manchmal beschweren sie sich über Ihre Einmischung in ihre Angelegenheiten”, sagte er.

Viele Forscher, darunter auch Herr Jain, möchten, dass ihre Bemühungen gewürdigt werden und dass möglicherweise eine “Hall of Fame” -Liste aller Forscher online ist, die verantwortungsbewusst Mängel in den digitalen Ressourcen der Regierung aufgedeckt haben.

Indien ist der weltweit führende Hacker-Standort, an dem indische „White-Hat-Hacker“ oder Bug-Bounty-Jäger im Jahr 2019 Bugs im Wert von 2,3 Mio. USD (1,7 Mio. GBP) entdeckten.

Unternehmen zahlen “White-Hat-Hacker” für das Hacken ihrer Websites, um Schwachstellen in ihren Sicherheitssystemen zu finden. Kopfgeldjäger erhalten Belohnungen für die Meldung von Schwachstellen in internationalen Softwareunternehmen, in denen die Kultur der verantwortungsvollen Aufdeckung von Fehlern gefördert wird.

Derzeit gibt es in Indien jedoch kein Gesetz zum Schutz von Sicherheitsforschern, die Fehler verantwortungsbewusst melden.

Das indische Gesetz über Informationstechnologie besagt eindeutig, dass jede Person, die nicht autorisierten Zugriff auf eine Computerressource erhält, schuldig oder haftbar ist. Da die Straftat im Kontext eines nicht autorisierten Zugriffs definiert wird, befürchten viele Forscher eine Vergeltung durch die Behörden, was sie daran hindert, Mängel zu melden.

Da es auf Bundes- oder Länderebene kein gut etabliertes Protokoll für die Meldung von Sicherheitslücken gibt, ist es häufig mit einem Risikofaktor verbunden.

“Dies kann durch rechtliche Änderungen des Gesetzes behoben werden. Darüber hinaus können Betriebspraktiken und politische Rahmenbedingungen entwickelt werden, um solche Schwachstellen durch ein fortschreitendes Bug-Bounty-Programm zu schließen”, sagte Gupta.

Nilesh Christopher ist ein Technologie-Autor aus Bangalore

Via BBC World News

One thought on “Ethisches Hacken: Warum Indien digitale Whistleblower schützen muss

Leave a Reply

%d bloggers like this: