Mobikwik-Episode zeigt, wie man die digitale Geldbörse nicht sichert

Den Boten zu erschießen, der Zweifel am Datenschutz aufkommen lässt, schadet mehr als nützt. Cybersicherheit muss eine transparente, kooperative Übung sein.

Es gab unabhängige Bestätigungen von dem anonymen Hacker-Handle Elliot Alderson und Alon Gal, dem CTO der israelischen Sicherheitsfirma Hudson Rock, die behaupteten, dies sei die größte KYC-Verletzung in Indien aller Zeiten.

Kürzlich dachte der Sicherheitsforscher Rajashekhar Rajaharia, er tue seine Pflicht, als er zweimal – am 26. Februar und am 4. Als Anbieter eines mobiltelefonbasierten Zahlungssystems und einer digitalen Geldbörse verarbeitet Mobikwik Millionen von Kundendaten, einschließlich sensibler persönlicher Informationen. Alles, was Rajashekhar wollte, war, dass das Unternehmen die Benutzer über den Verstoß und die Schritte informiert, die ergriffen wurden, um die Situation zu beheben. Er reagierte auf einen Hacker, der behauptete, Zugriff auf mehr als 100 Millionen Karteninhaberdaten aus den Kundendaten von Mobikwik zu haben. Worauf er nicht vorbereitet war, war der Gegenangriff der Firma, die ihn als medienverrückt bezeichnete und auch erklärte, dass sie rechtliche Schritte gegen ihn einleiten würden.

Bald gab es unabhängige Bestätigungen von Elliot Alderson und Alon Gal, dem CTO der israelischen Sicherheitsfirma Hudson Rock, die behaupteten, dass dies die größte KYC-Verletzung in Indien sei, die es je gab. Es hätte für jeden, der einen Tor-Browser zum Surfen im Dark Web verwendet, eine Enttäuschung sein sollen, dass eine enorme Datensammlung einschließlich KYC von 3,5 Millionen Menschen, Telefonnummern und Bankdaten von fast 100 Millionen Menschen und in einigen Fällen sogar Geolokalisierungsdaten vorhanden sind wurde für mickrige 1,5 Bitcoins oder ungefähr 62 Lakh Rupien zum Verkauf angeboten. Da immer mehr Benutzer feststellten, dass ihre Daten online verfügbar waren, hielt das Unternehmen an seiner dreisten Haltung fest, dass keine Daten aus seiner Datenbank durchgesickert waren, und sein CEO ging auf Twitter, um über das in Indien hergestellte Markenzeichen des Unternehmens zu schimpfen, das nichts damit zu tun hatte Datensicherheit. Er behauptete weiter, dass das Datenleck von einigen anderen Plattformen ausgegangen sein könnte. Der Grund zur Besorgnis liegt auch in der Tatsache, dass der anonyme Hacker, der diese Daten veröffentlicht hat, behauptet, dass die KYC-Daten erfolgreich verwendet wurden, um Mikrokredite aufzunehmen. Wenn sich das Unternehmen nicht zu der Datenschutzverletzung bekennt und alle Benutzer, deren Daten veröffentlicht wurden, nicht informiert, kann es zu einer Lawine solcher Mikrokredite kommen, die aufgenommen werden können, wobei der Benutzer belastet wird, der möglicherweise nicht einmal betroffen ist des Verstoßes bewusst.

Dies wirft die relevante Frage nach dem Vorhandensein des regulatorischen Ökosystems und der Intervention in einem solchen Szenario auf, in dem Sicherheitsexperten einen schwerwiegenden Verstoß behaupten, während die betreffende Stelle dies bestreitet. Berichte der Reserve Bank of India, die Mobikwik auffordern, die Angelegenheit zu untersuchen, sind eingegangen, aber es ist viel zu spät. CERT-In, die nationale Knotenpunkt-Agentur für die Reaktion auf Computersicherheitsvorfälle, wenn diese auftreten, hätte sofort eine unabhängige Prüfung autorisiert, um die Verletzung aufzuspüren und Korrekturmaßnahmen zu ergreifen. Mobikwik ist dabei, seinen Börsengang zu veröffentlichen, und es ist verständlich, dass sie die negative Publicity vermeiden möchten. Also hätte sogar das Ministerium für Unternehmensangelegenheiten das gemeldete Leck untersuchen und den Börsengang auf Eis legen müssen, wenn die Datenschutzverletzungen tatsächlich wahr sind.



Im letzten Jahr wurde die Notwendigkeit einer raschen Verabschiedung des Gesetzes zum Schutz personenbezogener Daten 2019 (PDPB) mehrfach angesprochen, um ähnlichen Situationen zu begegnen. Dies liegt daran, dass nach den geltenden Gesetzen Datenschutzverletzungen nicht effektiv bestraft werden können, wenn das Unternehmen beschließt, sie zu verschweigen, und die Regierung nicht bereit ist, den Stier beim Horn zu halten. Es stimmt, dass Section 43(A) des Information Technology Amendment Act 2008 und die relevanten Regeln, die im April 2011 bekannt gegeben wurden, verwendet werden können, um das Unternehmen zur Rechenschaft zu ziehen, wenn ein Unternehmen mit sensiblen personenbezogenen Daten oder Informationen umgeht und es fahrlässig bei der Aufrechterhaltung einer angemessene Sicherheit zum Schutz solcher Daten oder Informationen, die dadurch einer Person einen unrechtmäßigen Verlust oder einen unrechtmäßigen Gewinn zufügen, dann ist diese Körperschaft der betroffenen Person(en) schadenersatzpflichtig. Ebenso kann das Unternehmen nach § 72 des IT-Gesetzes fahrlässig geahndet werden. Auch der IPC bietet dem Nutzer unter „Vertrauensbruch“ einen gewissen Schutz. Aber all dies sind ausreichend mühsame Prozesse und die einfachste Lösung wäre, den Verstoß öffentlich zu machen und die betroffenen Personen aufzufordern, ihre Bankdaten zu ändern.

Es ist an der Zeit, dass die Regierung den wachsenden Wert der Datensicherheit sofort erkennt und Schritte zum Schutz der Benutzerdaten einleitet, indem sie die PDPB frühestens verabschiedet. Außerdem soll der Bote nicht erschossen werden. Cybersicherheit ist eine kooperative Übung und die mit der Aufgabe betrauten Institutionen müssen nicht nur ihre Aufgaben erfüllen, sondern auch als ihre Aufgaben wahrgenommen werden. Ein wenig Transparenz wird viel bewirken.

Der Autor, ein Analyst für Verteidigung und Cybersicherheit, ist ehemaliger Landeschef von General Dynamics