चर्चा में क्यों?
सुरक्षा शोधकर्ताओं ने एक प्रमुख सरकारी-सेवा प्लेटफॉर्म में कमजोरियों की सूचना दी। कुछ जुड़ी हुई सेवाओं ने संवेदनशील उपयोगकर्ता विवरण उजागर किए। सरकार ने समस्याओं को स्वीकार किया और सुधारात्मक उपाय शुरू किए। सभी उपयोगकर्ता रिकॉर्ड की कोई सामूहिक नकल स्थापित नहीं हुई।
पृष्ठभूमि
नए युग के शासन के लिए एकीकृत मोबाइल एप्लिकेशन (Unified Mobile Application for New-age Governance) को उमंग (UMANG) के रूप में जाना जाता है, और यह कई सरकारी सेवाओं के लिए एक इंटरफ़ेस देता है।
राष्ट्रीय ई-गवर्नेंस डिवीजन (National e-Governance Division) ने प्लेटफॉर्म को विकसित किया और संचालित करता है। यह डिवीजन इलेक्ट्रॉनिक्स और सूचना प्रौद्योगिकी मंत्रालय के तहत काम करता है।
प्लेटफॉर्म को 23 नवंबर 2017 को लॉन्च किया गया था। लॉन्चिंग नई दिल्ली में साइबर स्पेस पर पांचवें वैश्विक सम्मेलन (Global Conference on Cyber Space) के दौरान हुई थी।
लोग इसके मोबाइल एप्लिकेशन और वेबसाइट का उपयोग कर सकते हैं, और सेवाएं केंद्र, राज्य और स्थानीय सरकारी निकायों से आती हैं।
प्लेटफॉर्म किस समस्या का समाधान करता है?
पहले, एक नागरिक को अक्सर विभिन्न विभागों के लिए अलग-अलग एप्लिकेशन की आवश्यकता होती थी, और हर सेवा के लिए एक और इंटरफ़ेस और लॉगिन प्रक्रिया की आवश्यकता हो सकती थी।
उमंग एक एग्रीगेटर के रूप में कार्य करता है, और यह हर विभाग का मूल डेटाबेस बने बिना कई सेवाओं को एक स्थान पर लाता है।
प्लेटफॉर्म ने जुलाई 2026 तक 2,400 से अधिक सेवाओं को शामिल कर लिया था। इनमें कल्याण, पेंशन, उपयोगिताएँ, शिक्षा और अन्य क्षेत्र शामिल थे।
महत्वपूर्ण अंतर: एक एग्रीगेटर कई विभागीय प्रणालियों को जोड़ता है। एक कनेक्शन में कमजोरी यह साबित नहीं करती है कि हर अंतर्निहित प्रणाली विफल हो गई है।
जुड़ी हुई सेवाएं सूचनाओं का आदान-प्रदान कैसे करती हैं?
विभाग आमतौर पर एप्लिकेशन प्रोग्रामिंग इंटरफ़ेस (Application Programming Interface), जिसे API कहा जाता है, के माध्यम से डेटा का आदान-प्रदान करते हैं। यह कंप्यूटर प्रणालियों के बीच एक नियंत्रित द्वार है।
एक सुरक्षित द्वार जांचता है कि कौन सूचना का अनुरोध कर रहा है, और यह भी जांचता है कि वह व्यक्ति कौन सी सूचना प्राप्त कर सकता है।
प्रमाणीकरण (Authentication) उपयोगकर्ता की पहचान की पुष्टि करता है, और अभिगम नियंत्रण (access control) यह तय करता है कि एक प्रमाणित उपयोगकर्ता क्या देख या बदल सकता है।
एन्क्रिप्शन (Encryption) पठनीय जानकारी को संरक्षित कोडित रूप में परिवर्तित करता है, और "प्लेनटेक्स्ट" (plaintext) का अर्थ है कि जानकारी बिना ऐसी सुरक्षा के पठनीय बनी रहती है।
शोधकर्ताओं ने क्या रिपोर्ट की?
शोधकर्ताओं अक्षय सी एस और विरल वाघेला ने कई सेवाओं द्वारा उपयोग किए जाने वाले कनेक्शन का अध्ययन किया। उन्होंने प्लेटफ़ॉर्म-आर्किटेक्चर स्तर पर कमजोरियों की सूचना दी।
उजागर किए गए विवरणों में कथित तौर पर कुछ कर्मचारी भविष्य निधि संगठन (Employees’ Provident Fund Organisation) के खाता संख्याएं शामिल थीं, और इन्हें यूनिवर्सल अकाउंट नंबर (Universal Account Numbers) कहा जाता है।
कुछ तरलीकृत पेट्रोलियम गैस (liquefied petroleum gas) बुकिंग विवरण भी दिखाई दे रहे थे, और कई जुड़ी हुई सेवाओं ने कथित तौर पर प्लेनटेक्स्ट में आधार (Aadhaar) संख्याएं संग्रहीत की थीं।
रिपोर्ट ने आधार सेवा मॉड्यूल को ही कमजोर के रूप में नहीं पहचाना। समस्याग्रस्त भंडारण कुछ अन्य जुड़ी हुई सेवाओं के भीतर हुआ।
भ्रमित न हों: आधार डेटा कुछ जुड़ी हुई सेवाओं के माध्यम से दिखाई दिया। रिपोर्ट में यह नहीं कहा गया कि आधार के अपने मॉड्यूल के कारण कमजोरी आई।
क्या प्रत्येक उपयोगकर्ता रिकॉर्ड चोरी हो गया था?
सार्वजनिक रिपोर्ट में ऐसा कोई निष्कर्ष स्थापित नहीं हुआ, और जोखिम, पहुंच और पुष्टि की गई सामूहिक चोरी अलग-अलग घटनाएं हैं।
दर सीमित करने (Rate limiting) ने बार-बार स्वचालित अनुरोधों को प्रतिबंधित कर दिया, और इस नियंत्रण ने संपूर्ण डेटाबेस की तेजी से नकल की संभावना कम कर दी।
दर सीमित करना एक अवधि के भीतर केवल सीमित संख्या में अनुरोधों की अनुमति देता है। यह दुरुपयोग को कम करता है लेकिन कमजोर पहुंच नियमों की मरम्मत नहीं कर सकता।
शोधकर्ताओं ने भविष्य निधि खाते के विवरण से जुड़े संभावित दुरुपयोग का वर्णन किया, और ये जोखिम परिदृश्य थे, यह प्रमाण नहीं कि भुगतान चोरी हो गए थे।
सरकार ने कैसी प्रतिक्रिया दी?
मंत्रालय ने रिपोर्ट की गई कमजोरियों को स्वीकार किया, और उसने कहा कि सुधारात्मक और निवारक उपाय लागू किए जा रहे हैं।
पहले से पठनीय जानकारी को एन्क्रिप्ट करने के लिए संबंधित इंटरफेस बदल दिए गए थे, और अधिकारियों ने तीन महीने के सिस्टम लॉग की भी जांच की।
सरकार ने कहा कि उस समीक्षा के दौरान लेनदेन की मात्रा सुसंगत दिखाई दी, और उसने संदिग्ध व्यवहार की निगरानी जारी रखी।
शोधकर्ताओं ने तर्क दिया कि शुरुआती सुधार अधूरे रहे, और यह अंतर दिखाता है कि स्वतंत्र पुन: परीक्षण (independent retesting) क्यों महत्वपूर्ण है।
उन्होंने मंत्रालय और राष्ट्रीय घटना-प्रतिक्रिया अधिकारियों को मुद्दों की सूचना दी थी। जिम्मेदार प्रकटीकरण (Responsible disclosure) एक संगठन को नुकसान कम करने का समय देता है।
राष्ट्रीय घटना-प्रतिक्रिया निकाय क्या है?
इंडियन कंप्यूटर इमरजेंसी रिस्पांस टीम (Indian Computer Emergency Response Team) को CERT-In कहा जाता है। यह राष्ट्रीय साइबर घटनाओं को संभालता है और सुरक्षा निर्देश और सलाह जारी करता है।
यह उसी इलेक्ट्रॉनिक्स मंत्रालय के तहत काम करता है, और इसकी भूमिका प्लेटफॉर्म ऑपरेटर की दैनिक सेवा भूमिका से अलग है।
यह घटना क्या सबक देती है?
- प्रत्येक जुड़ी हुई सेवा को अपनी सुरक्षा समीक्षा की आवश्यकता है।
- प्लेटफॉर्म को केवल आवश्यक व्यक्तिगत जानकारी एकत्र करनी चाहिए।
- संवेदनशील क्षेत्रों को भंडारण और हस्तांतरण के दौरान एन्क्रिप्शन की आवश्यकता होती है।
- पहुंच नियमों का परीक्षण वास्तविक उपयोगकर्ता भूमिकाओं के साथ किया जाना चाहिए।
- लॉग को अधिक डेटा उजागर किए बिना असामान्य अनुरोधों का पता लगाना चाहिए।
- स्वतंत्र शोधकर्ताओं को सुरक्षित रिपोर्टिंग चैनलों की आवश्यकता है।
- सुधारों के लिए बाद में सत्यापन की आवश्यकता होती है, न कि केवल प्रारंभिक तैनाती की।
बड़े प्लेटफॉर्म सुविधा प्रदान करते हैं लेकिन एकाग्रता जोखिम (concentration risk) भी पैदा करते हैं, और एक सामान्य कनेक्शन कई अन्यथा अलग सेवाओं को प्रभावित कर सकता है।
उपयोगकर्ताओं को क्या करना चाहिए?
उपयोगकर्ताओं को आधिकारिक एप्लिकेशन या आधिकारिक वेबसाइट का उपयोग करना चाहिए। उन्हें पासवर्ड या वन-टाइम सत्यापन कोड मांगने वाले संदेशों को अनदेखा करना चाहिए।
उन्हें अप्रत्याशित परिवर्तनों के लिए भविष्य निधि और बैंकिंग विवरण की जांच करनी चाहिए, और संदिग्ध धोखाधड़ी की रिपोर्ट आधिकारिक चैनलों के माध्यम से तुरंत की जानी चाहिए।
ये सावधानियां व्यक्तिगत जोखिम को कम करती हैं, और वे सुरक्षित प्लेटफॉर्म डिजाइन के लिए सरकार की जिम्मेदारी को प्रतिस्थापित नहीं करती हैं।
निष्कर्ष
प्लेटफॉर्म सार्वजनिक सेवाओं तक पहुंचना आसान बनाता है। इसका विश्वास अब सत्यापित मरम्मत, न्यूनतम डेटा और निरंतर स्वतंत्र परीक्षण पर निर्भर करता है।