Home Created by potrace 1.16, written by Peter Selinger 2001-2019Tech and auto  Created by potrace 1.16, written by Peter Selinger 2001-2019आरोग्य सेतु में मिली सुरक्षा खामी, सरकार का डेटा लीक से इनकार

आरोग्य सेतु में मिली सुरक्षा खामी, सरकार का डेटा लीक से इनकार

ये ऐप के यूजर को कैसे प्रभावित करेगा?

क्विंट हिंदी
टेक और ऑटो
Published:
ये ऐप के यूजर को कैसे प्रभावित करेगा?
i
ये ऐप के यूजर को कैसे प्रभावित करेगा?
(फोटो: Quint)

advertisement

साइबरसिक्योरिटी फर्म शैडो मैप ने 12 अगस्त को आरोग्य सेतु ऐप के कोड में कुछ ऐसे हिस्सों और बैक-एंड कंपोनेंट का पता लगाया, जो 150 मिलियन यूजर का डेटा खतरे में डाल सकता है.

हिंदुस्तान टाइम्स की खबर के मुताबिक, शैडो मैप को एक सरकारी वेबसाइट पर आरोग्य सेतु के डेवलपर्स के इस्तेमाल किए हुए लॉग-इन क्रेडेंशियल मिले.

क्या है सुरक्षा खामी?

रिपोर्ट का कहना है कि ऐप के एक डेवलपर ने अनजाने में आरोग्य सेतु के लॉग-इन क्रेडेंशियल अपलोड कर दिए थे. इसकी वजह से शैडो मैप की रिसर्च टीम को ऐप के कोड और जरूरी सॉफ्टवेयर का एक्सेस मिल गया.

रिपोर्ट में कहा गया कि शैडो मैप ने इस दिक्कत के बारे में आरोग्य सेतु टीम को बताया, जिसके बाद इसे ठीक कर दिया गया.

शैडो मैप की रिसर्च टीम ने इस सुरक्षा खामी के डिटेल सोर्स कोड के स्क्रीनशॉट और ऐप के बैक-एंड स्ट्रक्चर के साथ एक ब्लॉग में पोस्ट किया था. हालांकि, अब इस पोस्ट को हटा दिया गया है. 

खामी का पता कैसे लगा?

लॉग-इन क्रेडेंशियल GitHub वेबसाइट पर पाए गए थे. ये वेबसाइट एक कोड-शेयरिंग प्लेटफॉर्म है, जिस पर डेवलपर्स और प्रोग्रामर्स अपने काम को शेयर करते हैं.

  • लॉग-इन क्रेडेंशियल की डिस्कवरी उस समय हुई जब रिसर्च टीम सरकारी वेबसाइटों को सार्वजनिक रूप से उपलब्ध डेटा के लिए खोज रही थी.
  • आरोग्य सेतु के एक डेवलपर के गलती से ऐप के रूट फोल्डर को पब्लिक वेबरूट पर पब्लिश करने के बाद ऐप के सर्वर अपडेट किए गए थे.
  • आरोग्य सेतु के यूजरनेम और पासवर्ड की जानकारी प्लेन टेक्स्ट में मौजूद थी.
  • शैडो मैप को आरोग्य सेतु के छुपे हुए डेटा का एक्सेस मिल गया था. इस डेटा में 'ऑथेंटिकेशन कीस' शामिल थीं, जिनके जरिए यूजर डेटा को एक्सेस किया जा सकता है.
  • ये सुरक्षा खामी ऐप के यूजर के लिए बहुत महंगी साबित हो सकती है.
अगर किसी यूजर को GitHub या उनके क्लाउड प्लेटफॉर्म का एक्सेस मिल जाता है, तो वो आसानी से ऐप में मालवेयर डाल सकता है, जो फिर आगे 150 मिलियन यूजर के पास पहुंच जाएगा.
शैडो मैप के फाउंडर यश कड़ाकिया ने HT से कहा 
ADVERTISEMENT
ADVERTISEMENT

ये ऐप के यूजर को कैसे प्रभावित करेगा?

आरोग्य सेतु कोरोना वायरस ट्रैकिंग एप्लीकेशन है, जिसमें कई मिलियन यूजर का डेटा स्टोर है. इस ऐप की कई प्राइवेसी एक्सपर्ट्स आलोचना कर चुके हैं क्योंकि ये बड़ी तादाद में यूजर का डेटा स्टोर करता है, जिसका कोई गलत इरादे से फायदा उठा सकता है.

इस केस में अगर संवेदनशील जानकारी हैकर के हाथ लग जाती तो कई मिलियन यूजर की लोकेशन, हेल्थ डेटा और कॉन्टैक्ट इंफॉर्मेशन लीक हो जाती.  

सरकार ने क्या कहा?

आरोग्य सेतु की टीम ने ऐसी किसी भी खामी से इनकार किया है और शैडो मैप की रिपोर्ट को 'दुर्भावनापूर्ण, बेईमान और बिना किसी आधार' के बताया है.

आरोग्य सेतु की इंचार्ज MyGov के सीईओ अभिषेक सिंह ने एक बयान जारी कर आश्वासन दिया कि कोई यूजर डेटा एक्सपोज नहीं हुआ है और कहा कि सरकार शैडो मैप की पैरेंट कंपनी सिक्योरिटी ब्रिगेड के खिलाफ लीगल एक्शन लेगी.

शैडो मैप के ब्लॉग पोस्ट डिलीट करने के बाद सिंह का बयान हटा लिया गया.

मिनिस्ट्री ऑफ इलेक्ट्रॉनिक्स एंड आईटी (MeiTY) ने सिक्योरिटी ब्रिगेड पर आरोग्य सेतु प्रोजेक्ट में इंगेजमेंट टर्म्स का उल्लंघन करने का आरोप लगाया. मिनिस्ट्री ने कहा, “सिक्योरिटी ब्रिगेड ऐप के कोड के रिव्यूअर में से एक थी और कोड से संबंधित विश्वसनीय जानकारी उसके साथ शेयर की गई थी.”

आरोपों पर सिक्योरिटी ब्रिगेड का जवाब

सिक्योरिटी ब्रिगेड ने सभी आरोपों को खारिज किया है और कहा कि रिपोर्ट GitHub पर मिली एक खामी पर आधारित थी. कंपनी ने कहा कि उसने कीस का इस्तेमाल डेटाबेस एक्सेस करने में नहीं किया है और प्रवक्ता ने कहा कि कंपनी को नहीं पता है कि किसी हैकर ने कोई ब्रीच किया है.

"आरोग्य सेतु ने छह संगठनों को एंड्रॉइड सोर्स कोड दिया था और ये सब बग बाउंटी के ऐलान से पहले हुआ था. ये एंड्रॉइड सोर्स कोड सबके लिए GitHub पर मौजूद था और हमारे आर्टिकल का इससे कोई संबंध नहीं था. “

कंपनी ने कहा कि आरोग्य सेतु ओपन सोर्स प्रोजेक्ट से जुड़ा सभी डेटा उसने 'जिम्मेदारी के साथ NIC, CERT और ऐप की टीम के साथ शेयर किया था.'

(क्विंट हिन्दी, हर मुद्दे पर बनता आपकी आवाज, करता है सवाल. आज ही मेंबर बनें और हमारी पत्रकारिता को आकार देने में सक्रिय भूमिका निभाएं.)

Published: undefined

ADVERTISEMENT
SCROLL FOR NEXT