सुरक्षा में सेंध: उमंग ऐप से लाखों भारतीयों के पैन एवं आधार डाटा लीक

0
5

नई दिल्ली। PAN, Aadhaar data leak: भारत सरकार के Unified Mobile Application for New-age Governance (UMANG) पोर्टल में गंभीर सुरक्षा खामियां सामने आई हैं। साइबर सिक्योरिटी रिसर्चर्स ने दावा किया है कि इन कमजोरियों के चलते करोड़ों भारतीयों का सेंसिटिव डाटा एक्सपोज हुआ।

इस जानकारी में EPFO के Universal Account Number (UAN), LPG सिलेंडर बुकिंग डीटेल्स और कई सरकारी सेवाओं में सेव किए गए Aadhaar नंबर शामिल हैं। मामले के सामने आने के बाद इलेक्ट्रॉनिक्स और IT मंत्रालय (MeitY) ने इन खामियों को कन्फर्म करते हुए कहा है कि उन्हें दूर करने के लिए जरूरी कदम उठाए जा रहे हैं।

की रिपोर्ट के मुताबिक, यह खुलासा साइबर सिक्योरिटी रिसर्चर अक्षय सी.एस. और वायरल वाघेला ने किया है। उनके मुताबिक, दिक्कत किसी एक सेवा तक सीमित नहीं है, बल्कि UMANG के आर्किटेक्चर में मौजूद कमियों से जुड़ी है। उनका दावा है कि ये कमजोरियां संभवतः कई साल से मौजूद थीं और प्लेटफॉर्म के डिजाइन की वजह से अलग-अलग सरकारी डाटाबेस का संवेदनशील डाटा एक्सपोज हो रहा था। हालांकि, इस डाटा के बड़े स्तर पर लीक होने की पुष्टि नहीं हुई है।

रिपोर्ट के अनुसार, एक्सपोज हुए डेटा में EPFO के UAN, कम से कम एक बड़ी ऑयल मार्केटिंग कंपनी के LPG सिलेंडर बुकिंग रिकॉर्ड और कई सरकारी सेवाओं में सेव किए गए Aadhaar नंबर शामिल हैं। रिसर्चर्स का कहना है कि कई जगह आधार नंबर Plaintext (सादे टेक्स्ट) में स्टोर किए गए थे, जबकि Aadhaar Act, 2016 के तहत ऐसा करने की अनुमति नहीं है। हालांकि, उन्होंने यह भी साफ किया कि UMANG का Aadhaar मॉड्यूल खुद इस खामी से प्रभावित नहीं था।

बता दें, UMANG पोर्टल को करीब नौ साल पहले लॉन्च किया गया था। इसका मकसद केंद्र और राज्य सरकारों की अलग-अलग सेवाओं को एक ही प्लेटफॉर्म पर उपलब्ध कराना है। वर्तमान में इस पोर्टल पर 2,400 से ज्यादा सरकारी सेवाएं उपलब्ध हैं और देशभर में करोड़ों लोग इसका इस्तेमाल करते हैं। ऐसे में इस तरह की सुरक्षा खामी को बेहद गंभीर माना जा रहा है।

साथ ही UMANG पर सबसे ज्यादा इस्तेमाल होने वाली सेवा EPFO है। पिछले तीन महीनों में इस मॉड्यूल पर 40 करोड़ से अधिक ट्रांजैक्शन दर्ज किए गए हैं। ऐसे में अगर हैकर्स या साइबर अपराधी किसी संवेदनशील जानकारी तक पहुंच जाते, तो इसका असर बड़ी संख्या में यूजर्स पर पड़ सकता था।

इंडिपेंडेट साइबर सिक्योरिटी एक्सपर्ट करण सैनी ने इस मामले को गंभीर बताया है। उनके मुताबिक, वेबसाइट पर Rate Limiting जैसी सुरक्षा व्यवस्था होने के चलते पूरे EPFO डेटाबेस को कॉपी करना आसान नहीं था। हालांकि, अगर किसी साइबर अपराधी के पास पहले से UAN नंबर मौजूद हों, तो वह बैंक अकाउंट की जानकारी बदलने और पेमेंट प्रोसेस शुरू करने जैसी ऐक्टिविटीज का गलत इस्तेमाल कर सकता था।

मामला सामने आने के बाद MeitY ने कहा कि उसकी डेवलपमेंट और सिक्योरिटी टीम ने रिपोर्ट की जांच की है। मंत्रालय के अनुसार, संबंधित APIs में मौजूद Plaintext डाटा को एन्क्रिप्ट कर दिया गया है और पिछले तीन महीनों के API लॉग की भी समीक्षा की गई है। सरकार का कहना है कि फिलहाल ट्रांजैक्शन में किसी असामान्य गतिविधि के संकेत नहीं मिले हैं और UMANG पोर्टल की लगातार निगरानी की जा रही है।

रिसर्चर्स ने इन खामियों की जानकारी CERT-In, MeitY और EPFO को भी दी थी। इसके कुछ समय बाद EPFO ने अपने ऑनलाइन पोर्टल को ‘Migration’ के लिए अस्थायी रूप से बंद कर दिया था। रिसर्चर्स का मानना है कि यह कदम उनकी रिपोर्ट के बाद उठाया गया हो सकता है, हालांकि सरकार की ओर से इसकी आधिकारिक पुष्टि नहीं की गई है।