CoWIN Breach: सरकार का दावा डेटा लीक नहीं हुआ लेकिन 5 सवालों का जबाव कौन देगा?

CoWIN Data Breach: क्या COVID-19 वैक्सीनेशन के लिए बने सरकारी पोर्टल, CoWIN पर रजिस्ट्रेशन कराने वाले नागरिकों का डेटा लीक हो गया है? केंद्र सरकार ने सोमवार, 12 जून की शाम को ऐसी खबरों का खंडन किया है.

इससे पहले न्यूज पोर्टल मनोरमा और द फोर्थ न्यूज ने यह खबर प्रसारित की थी कि 'hak4learn' द्वारा संचालित 'Truecaller' नामक एक टेलीग्राम बॉट व्यक्तियों की संवेदनशील जानकारी मुहैया करा रहा था. ऐसी संवेदनशील जानकारी के लिए केवल उस इंसान का फोन या आधार नंबर इनपुट करने की जरूरत थी.

लेकिन कई ऐसे प्रश्न अभी भी बचे हुए हैं जिनका जवाब नहीं दिया गया है.

टेलीग्राम बॉट कई संवेदनशील जानकारी दे रहा था जैसे

• फोन नंबर

• लिंग/सेक्स

• आधार/पासपोर्ट नंबर

• जन्म की तारीख

• वह स्थान जहां वैक्सीन डोज दी गई थी

• एक ही नंबर से अपॉइंटमेंट बुक करने वाले सभी लोगों के डिटेल्स 

यदि सरकार दावा कर रही है कि CoWIN के माध्यम से एकत्र किया गया डेटा सुरक्षित है, तो ये डेटा सेट कहां से आए?

केंद्रीय उद्यमिता, कौशल विकास, इलेक्ट्रॉनिक्स और प्रौद्योगिकी राज्य मंत्री राजीव चंद्रशेखर ने ट्विटर पर कहा कि CoWIN डेटा सुरक्षित है, बॉट द्वारा एक्सेस किया गया डेटा पहले से चुराया गया डेटा लगता है.

इसे थोड़ा आसानी से समझते हैं. कल्पना कीजिए कि A ने वैक्सीन लगवाने के लिए खुद को CoWIN पर रजिस्टर किया और वेबसाइट पर अपना आधार और फोन नंबर दर्ज किया. A ने XYZ कारण से किसी अन्य संस्था को भी इसकी जानकारी प्रदान की.

चंद्रशेखर कह रहे हैं कि CoWIN पर अपलोड की गई जानकारी बिल्कुल सुरक्षित है. लेकिन लगता है कि डेटा पहले कहीं और से चोरी किया गया है. हम इसे आसानी से स्वीकार भी कर लेते लेकिन लीक डेटा में उस लोकेशन की जानकारी कैसे आई जहां व्यक्ति को वैक्सीन का डोज दिया गया था? बॉट द्वारा इसकी भी जानकारी दी जा रही है कि कितने लोगों ने एक साथ अपोईंटमेंट बुक किया था.

बॉट द्वारा आपको जो डेटा दिया जाता है, ऐसा लगता है जैसे इसका सोर्स CoWIN है.

हां, हो सकता है A व्यक्ति ने कई कारणों से कई वेबसाइटों पर अपना फोन नंबर, जन्मतिथि आदि अपलोड किया हो, जहां से इसे आसानी से चुराया जा सकता था. लेकिन उन्होंने यह डिटेल तो अपलोड नहीं किए होंगे कि उनके परिवार में किस-किस ने एक ही नंबर से CoWIN पर रजिस्ट्रेशन कराया था और उन्होंने कहां वैक्सीन लगाया गया था?

2021 में, सरकार ने वैक्सीन रजिस्ट्रेशन, अपॉइंटमेंट बुकिंग और यहां तक कि वैक्सीन सर्टिफिकेट डाउनलोड करने जैसे उद्देश्यों के लिए CoWIN के साथ थर्ड पार्टी ऐप्स और सेवाओं के एकीकरण की इजाजत दी थी.

केंद्र ने सोमवार को जारी किए गए अपने बयान में कहा है कि CoWIN पर डेटा की सुरक्षा के लिए ये सुरक्षा उपाय किए गए हैं.

• वेब एप्लीकेशन फायरवॉल

• एंटी-DDoS

• SSL/TLS

• नियमित रूप से इसके भेद्यता की जांच

• पहचान और एक्सेस मैनेजमेंट

• OTP से ऑथेंटिकेशन

केंद्र ने यह भी कहा है कि केवल CoWIN- लाभार्थी, CoWIN अधिकृत उपयोगकर्ता और सरकार से संबंधित थर्ड पार्टी ऐप्लिकेशन ही डेटा एक्सेस कर सकते हैं.

यदि ये सभी उपाय वास्तव में मौजूद हैं, तो डेटा फिर भी लीक कैसे हुआ? लीक का बिंदु क्या है और क्या इसे ठीक किया गया है? यदि डेटा अतीत में ब्रीच हुआ था, तो यह अभी सामने क्यों आ रहा है? इसके अलावा, जिसने भी लीक किया, वे इसे मुफ्त में क्यों दे रहे हैं? क्या डेटा पहले हैकर फोरम पर खरीदारी के लिए उपलब्ध था?

बॉट को 1 जून को बनाया गया था और मीडिया रिपोर्ट्स के आने के बाद 12 जून को जल्द इसे हटा दिया गया था.

इन 12 दिनों में कितने लोगों ने बॉट और डेटा एक्सेस किया, इस बारे में अभी तक कोई स्पष्टता नहीं है.

फिट से बात करते हुए, उपभोक्ता जागरूकता समूह के एक डिजिटल पहचान विशेषज्ञ, श्रीकांत एल ने कहा कि

इस तरह का डेटा ब्रीच और इतनी संवेदनशील जानकारी का लीक होना चिंता का विषय है.

श्रीकांत ने फिट को बताया था,

लेकिन यहां सबसे बड़ा मुद्दा यह है कि नाबालिगों के डेटासेट में भी सेंध लगाई गई है. ब्रीच के बारे में खबरें सामने आने के बाद श्रीकांत ने बॉट का उपयोग किया और सार्वजनिक रूप से उपलब्ध आधार कार्ड नंबरों का उपयोग करके, उन्होंने तमिलनाडु के एक ऐसे नाबालिग का निजी डेटा प्राप्त कर लिया जिसकी आत्महत्या से मृत्यु हो गई थी.

अब डर इस बात का है कि खासकर नाबालिगों के डेटा का दुरुपयोग हो सकता है.

क्विंट फिट ने स्वास्थ्य मंत्रालय और इलेक्ट्रॉनिक्स और सूचना प्रौद्योगिकी मंत्रालय से संपर्क किया है. उनकी प्रतिक्रिया के साथ इस स्टोरी को अपडेट किया जाएगा.