विज्ञान एवं प्रौद्योगिकी

UMANG ऐप: सरकारी सेवा मंच और डेटा सुरक्षा

UMANG ऐप: सरकारी सेवा मंच और डेटा सुरक्षा
Study next

Convert reading into recall

Read once, then use one quick app action while the topic is fresh. Links open in a new tab.

1 Start True/False practice 2-min recall check Open
Read for
Exam hook Prelims fact Mains angle
Other useful actions
N Save key points Build a revision note S Watch related Shorts Quick visual recap App Open News in Web App Browse related current affairs

चर्चा में क्यों?

सुरक्षा शोधकर्ताओं ने एक प्रमुख सरकारी-सेवा प्लेटफॉर्म में कमजोरियों की सूचना दी। कुछ जुड़ी हुई सेवाओं ने संवेदनशील उपयोगकर्ता विवरण उजागर किए। सरकार ने समस्याओं को स्वीकार किया और सुधारात्मक उपाय शुरू किए। सभी उपयोगकर्ता रिकॉर्ड की कोई सामूहिक नकल स्थापित नहीं हुई।

पृष्ठभूमि

नए युग के शासन के लिए एकीकृत मोबाइल एप्लिकेशन (Unified Mobile Application for New-age Governance) को उमंग (UMANG) के रूप में जाना जाता है, और यह कई सरकारी सेवाओं के लिए एक इंटरफ़ेस देता है।

राष्ट्रीय ई-गवर्नेंस डिवीजन (National e-Governance Division) ने प्लेटफॉर्म को विकसित किया और संचालित करता है। यह डिवीजन इलेक्ट्रॉनिक्स और सूचना प्रौद्योगिकी मंत्रालय के तहत काम करता है।

प्लेटफॉर्म को 23 नवंबर 2017 को लॉन्च किया गया था। लॉन्चिंग नई दिल्ली में साइबर स्पेस पर पांचवें वैश्विक सम्मेलन (Global Conference on Cyber Space) के दौरान हुई थी।

लोग इसके मोबाइल एप्लिकेशन और वेबसाइट का उपयोग कर सकते हैं, और सेवाएं केंद्र, राज्य और स्थानीय सरकारी निकायों से आती हैं।

प्लेटफॉर्म किस समस्या का समाधान करता है?

पहले, एक नागरिक को अक्सर विभिन्न विभागों के लिए अलग-अलग एप्लिकेशन की आवश्यकता होती थी, और हर सेवा के लिए एक और इंटरफ़ेस और लॉगिन प्रक्रिया की आवश्यकता हो सकती थी।

उमंग एक एग्रीगेटर के रूप में कार्य करता है, और यह हर विभाग का मूल डेटाबेस बने बिना कई सेवाओं को एक स्थान पर लाता है।

प्लेटफॉर्म ने जुलाई 2026 तक 2,400 से अधिक सेवाओं को शामिल कर लिया था। इनमें कल्याण, पेंशन, उपयोगिताएँ, शिक्षा और अन्य क्षेत्र शामिल थे।

महत्वपूर्ण अंतर: एक एग्रीगेटर कई विभागीय प्रणालियों को जोड़ता है। एक कनेक्शन में कमजोरी यह साबित नहीं करती है कि हर अंतर्निहित प्रणाली विफल हो गई है।

जुड़ी हुई सेवाएं सूचनाओं का आदान-प्रदान कैसे करती हैं?

विभाग आमतौर पर एप्लिकेशन प्रोग्रामिंग इंटरफ़ेस (Application Programming Interface), जिसे API कहा जाता है, के माध्यम से डेटा का आदान-प्रदान करते हैं। यह कंप्यूटर प्रणालियों के बीच एक नियंत्रित द्वार है।

एक सुरक्षित द्वार जांचता है कि कौन सूचना का अनुरोध कर रहा है, और यह भी जांचता है कि वह व्यक्ति कौन सी सूचना प्राप्त कर सकता है।

प्रमाणीकरण (Authentication) उपयोगकर्ता की पहचान की पुष्टि करता है, और अभिगम नियंत्रण (access control) यह तय करता है कि एक प्रमाणित उपयोगकर्ता क्या देख या बदल सकता है।

एन्क्रिप्शन (Encryption) पठनीय जानकारी को संरक्षित कोडित रूप में परिवर्तित करता है, और "प्लेनटेक्स्ट" (plaintext) का अर्थ है कि जानकारी बिना ऐसी सुरक्षा के पठनीय बनी रहती है।

शोधकर्ताओं ने क्या रिपोर्ट की?

शोधकर्ताओं अक्षय सी एस और विरल वाघेला ने कई सेवाओं द्वारा उपयोग किए जाने वाले कनेक्शन का अध्ययन किया। उन्होंने प्लेटफ़ॉर्म-आर्किटेक्चर स्तर पर कमजोरियों की सूचना दी।

उजागर किए गए विवरणों में कथित तौर पर कुछ कर्मचारी भविष्य निधि संगठन (Employees’ Provident Fund Organisation) के खाता संख्याएं शामिल थीं, और इन्हें यूनिवर्सल अकाउंट नंबर (Universal Account Numbers) कहा जाता है।

कुछ तरलीकृत पेट्रोलियम गैस (liquefied petroleum gas) बुकिंग विवरण भी दिखाई दे रहे थे, और कई जुड़ी हुई सेवाओं ने कथित तौर पर प्लेनटेक्स्ट में आधार (Aadhaar) संख्याएं संग्रहीत की थीं।

रिपोर्ट ने आधार सेवा मॉड्यूल को ही कमजोर के रूप में नहीं पहचाना। समस्याग्रस्त भंडारण कुछ अन्य जुड़ी हुई सेवाओं के भीतर हुआ।

भ्रमित न हों: आधार डेटा कुछ जुड़ी हुई सेवाओं के माध्यम से दिखाई दिया। रिपोर्ट में यह नहीं कहा गया कि आधार के अपने मॉड्यूल के कारण कमजोरी आई।

क्या प्रत्येक उपयोगकर्ता रिकॉर्ड चोरी हो गया था?

सार्वजनिक रिपोर्ट में ऐसा कोई निष्कर्ष स्थापित नहीं हुआ, और जोखिम, पहुंच और पुष्टि की गई सामूहिक चोरी अलग-अलग घटनाएं हैं।

दर सीमित करने (Rate limiting) ने बार-बार स्वचालित अनुरोधों को प्रतिबंधित कर दिया, और इस नियंत्रण ने संपूर्ण डेटाबेस की तेजी से नकल की संभावना कम कर दी।

दर सीमित करना एक अवधि के भीतर केवल सीमित संख्या में अनुरोधों की अनुमति देता है। यह दुरुपयोग को कम करता है लेकिन कमजोर पहुंच नियमों की मरम्मत नहीं कर सकता।

शोधकर्ताओं ने भविष्य निधि खाते के विवरण से जुड़े संभावित दुरुपयोग का वर्णन किया, और ये जोखिम परिदृश्य थे, यह प्रमाण नहीं कि भुगतान चोरी हो गए थे।

सरकार ने कैसी प्रतिक्रिया दी?

मंत्रालय ने रिपोर्ट की गई कमजोरियों को स्वीकार किया, और उसने कहा कि सुधारात्मक और निवारक उपाय लागू किए जा रहे हैं।

पहले से पठनीय जानकारी को एन्क्रिप्ट करने के लिए संबंधित इंटरफेस बदल दिए गए थे, और अधिकारियों ने तीन महीने के सिस्टम लॉग की भी जांच की।

सरकार ने कहा कि उस समीक्षा के दौरान लेनदेन की मात्रा सुसंगत दिखाई दी, और उसने संदिग्ध व्यवहार की निगरानी जारी रखी।

शोधकर्ताओं ने तर्क दिया कि शुरुआती सुधार अधूरे रहे, और यह अंतर दिखाता है कि स्वतंत्र पुन: परीक्षण (independent retesting) क्यों महत्वपूर्ण है।

उन्होंने मंत्रालय और राष्ट्रीय घटना-प्रतिक्रिया अधिकारियों को मुद्दों की सूचना दी थी। जिम्मेदार प्रकटीकरण (Responsible disclosure) एक संगठन को नुकसान कम करने का समय देता है।

राष्ट्रीय घटना-प्रतिक्रिया निकाय क्या है?

इंडियन कंप्यूटर इमरजेंसी रिस्पांस टीम (Indian Computer Emergency Response Team) को CERT-In कहा जाता है। यह राष्ट्रीय साइबर घटनाओं को संभालता है और सुरक्षा निर्देश और सलाह जारी करता है।

यह उसी इलेक्ट्रॉनिक्स मंत्रालय के तहत काम करता है, और इसकी भूमिका प्लेटफॉर्म ऑपरेटर की दैनिक सेवा भूमिका से अलग है।

यह घटना क्या सबक देती है?

  • प्रत्येक जुड़ी हुई सेवा को अपनी सुरक्षा समीक्षा की आवश्यकता है।
  • प्लेटफॉर्म को केवल आवश्यक व्यक्तिगत जानकारी एकत्र करनी चाहिए।
  • संवेदनशील क्षेत्रों को भंडारण और हस्तांतरण के दौरान एन्क्रिप्शन की आवश्यकता होती है।
  • पहुंच नियमों का परीक्षण वास्तविक उपयोगकर्ता भूमिकाओं के साथ किया जाना चाहिए।
  • लॉग को अधिक डेटा उजागर किए बिना असामान्य अनुरोधों का पता लगाना चाहिए।
  • स्वतंत्र शोधकर्ताओं को सुरक्षित रिपोर्टिंग चैनलों की आवश्यकता है।
  • सुधारों के लिए बाद में सत्यापन की आवश्यकता होती है, न कि केवल प्रारंभिक तैनाती की।

बड़े प्लेटफॉर्म सुविधा प्रदान करते हैं लेकिन एकाग्रता जोखिम (concentration risk) भी पैदा करते हैं, और एक सामान्य कनेक्शन कई अन्यथा अलग सेवाओं को प्रभावित कर सकता है।

उपयोगकर्ताओं को क्या करना चाहिए?

उपयोगकर्ताओं को आधिकारिक एप्लिकेशन या आधिकारिक वेबसाइट का उपयोग करना चाहिए। उन्हें पासवर्ड या वन-टाइम सत्यापन कोड मांगने वाले संदेशों को अनदेखा करना चाहिए।

उन्हें अप्रत्याशित परिवर्तनों के लिए भविष्य निधि और बैंकिंग विवरण की जांच करनी चाहिए, और संदिग्ध धोखाधड़ी की रिपोर्ट आधिकारिक चैनलों के माध्यम से तुरंत की जानी चाहिए।

ये सावधानियां व्यक्तिगत जोखिम को कम करती हैं, और वे सुरक्षित प्लेटफॉर्म डिजाइन के लिए सरकार की जिम्मेदारी को प्रतिस्थापित नहीं करती हैं।

निष्कर्ष

प्लेटफॉर्म सार्वजनिक सेवाओं तक पहुंचना आसान बनाता है। इसका विश्वास अब सत्यापित मरम्मत, न्यूनतम डेटा और निरंतर स्वतंत्र परीक्षण पर निर्भर करता है।

स्रोत

Finished reading?

Do one recall action now

Practice first while the topic is fresh. Save the key points or use Shorts when you want a quick recap.

1 Start True/False practice 2-min recall check N Save key points Build a revision note S Watch related Shorts Quick visual recap App Open News in Web App Browse related current affairs
Home Current Affairs 📰 Daily News 🎬 Watch Shorts 📊 Economic Survey 2025-26 Subjects 📚 All Subjects ⚖️ Indian Polity 💹 Economy 🌍 Geography 🌿 Environment 📜 History Exam Info 📋 Syllabus 2026 📝 Prelims Syllabus ✍️ Mains Syllabus ✅ Eligibility Resources 📖 Booklist 📊 Exam Pattern 📄 Previous Year Papers ▶️ YouTube Channel
Sign In / Open Web App