आरोग्य सेतु में मिली सुरक्षा खामी, सरकार का डेटा लीक से इनकार

साइबरसिक्योरिटी फर्म शैडो मैप ने 12 अगस्त को आरोग्य सेतु ऐप के कोड में कुछ ऐसे हिस्सों और बैक-एंड कंपोनेंट का पता लगाया, जो 150 मिलियन यूजर का डेटा खतरे में डाल सकता है.

हिंदुस्तान टाइम्स की खबर के मुताबिक, शैडो मैप को एक सरकारी वेबसाइट पर आरोग्य सेतु के डेवलपर्स के इस्तेमाल किए हुए लॉग-इन क्रेडेंशियल मिले.

क्या है सुरक्षा खामी?

रिपोर्ट का कहना है कि ऐप के एक डेवलपर ने अनजाने में आरोग्य सेतु के लॉग-इन क्रेडेंशियल अपलोड कर दिए थे. इसकी वजह से शैडो मैप की रिसर्च टीम को ऐप के कोड और जरूरी सॉफ्टवेयर का एक्सेस मिल गया.

रिपोर्ट में कहा गया कि शैडो मैप ने इस दिक्कत के बारे में आरोग्य सेतु टीम को बताया, जिसके बाद इसे ठीक कर दिया गया.

खामी का पता कैसे लगा?

लॉग-इन क्रेडेंशियल GitHub वेबसाइट पर पाए गए थे. ये वेबसाइट एक कोड-शेयरिंग प्लेटफॉर्म है, जिस पर डेवलपर्स और प्रोग्रामर्स अपने काम को शेयर करते हैं.

• लॉग-इन क्रेडेंशियल की डिस्कवरी उस समय हुई जब रिसर्च टीम सरकारी वेबसाइटों को सार्वजनिक रूप से उपलब्ध डेटा के लिए खोज रही थी.
• आरोग्य सेतु के एक डेवलपर के गलती से ऐप के रूट फोल्डर को पब्लिक वेबरूट पर पब्लिश करने के बाद ऐप के सर्वर अपडेट किए गए थे.
• आरोग्य सेतु के यूजरनेम और पासवर्ड की जानकारी प्लेन टेक्स्ट में मौजूद थी.
• शैडो मैप को आरोग्य सेतु के छुपे हुए डेटा का एक्सेस मिल गया था. इस डेटा में 'ऑथेंटिकेशन कीस' शामिल थीं, जिनके जरिए यूजर डेटा को एक्सेस किया जा सकता है.
• ये सुरक्षा खामी ऐप के यूजर के लिए बहुत महंगी साबित हो सकती है.

ये ऐप के यूजर को कैसे प्रभावित करेगा?

आरोग्य सेतु कोरोना वायरस ट्रैकिंग एप्लीकेशन है, जिसमें कई मिलियन यूजर का डेटा स्टोर है. इस ऐप की कई प्राइवेसी एक्सपर्ट्स आलोचना कर चुके हैं क्योंकि ये बड़ी तादाद में यूजर का डेटा स्टोर करता है, जिसका कोई गलत इरादे से फायदा उठा सकता है.

सरकार ने क्या कहा?

आरोग्य सेतु की टीम ने ऐसी किसी भी खामी से इनकार किया है और शैडो मैप की रिपोर्ट को 'दुर्भावनापूर्ण, बेईमान और बिना किसी आधार' के बताया है.

आरोग्य सेतु की इंचार्ज MyGov के सीईओ अभिषेक सिंह ने एक बयान जारी कर आश्वासन दिया कि कोई यूजर डेटा एक्सपोज नहीं हुआ है और कहा कि सरकार शैडो मैप की पैरेंट कंपनी सिक्योरिटी ब्रिगेड के खिलाफ लीगल एक्शन लेगी.

शैडो मैप के ब्लॉग पोस्ट डिलीट करने के बाद सिंह का बयान हटा लिया गया.

आरोपों पर सिक्योरिटी ब्रिगेड का जवाब

सिक्योरिटी ब्रिगेड ने सभी आरोपों को खारिज किया है और कहा कि रिपोर्ट GitHub पर मिली एक खामी पर आधारित थी. कंपनी ने कहा कि उसने कीस का इस्तेमाल डेटाबेस एक्सेस करने में नहीं किया है और प्रवक्ता ने कहा कि कंपनी को नहीं पता है कि किसी हैकर ने कोई ब्रीच किया है.

"आरोग्य सेतु ने छह संगठनों को एंड्रॉइड सोर्स कोड दिया था और ये सब बग बाउंटी के ऐलान से पहले हुआ था. ये एंड्रॉइड सोर्स कोड सबके लिए GitHub पर मौजूद था और हमारे आर्टिकल का इससे कोई संबंध नहीं था. “

कंपनी ने कहा कि आरोग्य सेतु ओपन सोर्स प्रोजेक्ट से जुड़ा सभी डेटा उसने 'जिम्मेदारी के साथ NIC, CERT और ऐप की टीम के साथ शेयर किया था.'