Een Indiase softwareleverancier voor de gezondheidszorg heeft de coronatests en persoonlijke gegevens van 1,7 miljoen Indiërs en buitenlanders die het land bezochten gelekt. Het gaat onder andere om vaccinatiestatus, medische aandoeningen, naam, paspoortnummer, nationaliteit, geboortedatum, adresgegevens, telefoonnummers en coronatestresultaten.

De gegevens stonden op een onbeveiligde Elasticsearch-server en waren voor iedereen op internet toegankelijk, zo ontdekte beveiligingsonderzoeker Anurag Sen. Hij deelde zijn bevindingen met Hackread, dat gedeeltelijke informatie van getroffen Amerikaanse, Canadese en Indiase burgers publiceerde. De Elasticsearch-server was sinds 2 juli op internet te vinden en was op 25 september nog altijd niet beveiligd, ook al is het betreffende softwarebedrijf ingelicht. Sen wil de naam van de leverancier dan ook niet bekendmaken.

De testresultaten waren afkomstig van een coronazelftest genaamd Covi-Catch. Hierbij nemen gebruikers een zelftest af en kunnen vervolgens de resultaten via een smartphone-app registreren (pdf). De data van deze gebruikers is vervolgens verwerkt via Elasticsearch. Dit is zoekmachinesoftware voor het indexeren van allerlei soorten informatie. Het wordt onder andere ingezet voor het doorzoeken van websites, documenten en applicaties, maar is ook te gebruiken voor analytics, monitoring en data-analyse.