पिछले दिनों कोरोना वायरस (Covid19) को फैलने से रोकने के लिए भारत सरकार ने वैक्सीनेशन की योजना शुरू की थी. इसके लिए CoWIN नाम का एप्लीकेशन लॉन्च किया गया, जिसमें कोरोना वायरस का टीका लगवाने वाले लोगों का डेटा फीड किया गया था. वैक्सीन लगवाने वाले लोगों के लिए इस एप्लीकेशन पर रजिस्टर करना जरूरी बनाया गया. अब खबर आ रही है कि इस पोर्टल पर फीड किया गया हजारों भारतीय नागरिकों का प्राइवेट डेटा कथित तौर पर लीक हो गया है. इसमें बड़े नेता और मशहूर हस्तियां भी शामिल हैं.
रिपोर्ट के मुताबिक टेलिग्राम नाम के सोशल मीडिया प्लेटफॉर्म पर Bot के जरिए लोगों का डेटा पब्लिक कर दिया गया है. The Fourth News और Manorama की रिपोर्ट के मुताबिक लीक हुए डेटा में नाम, जन्म तारीख, लिंग, फोन नंबर, आधार कार्ड की जानकारी, पासपोर्ट की जानकारी और वो जगह जहां पर कोरोना वैक्सीन का पहला डोज लगवाया गया था, सब शामिल है.
Indian Express की रिपोर्ट के मुताबिक इलेक्ट्रॉनिक्स और आईटी मंत्रालय के एक सीनियर ऑफिसर ने बताया कि केंद्र सरकार ने Bot और लीक हुए डेटा का संज्ञान लिया है और जांच शुरू की गई है.
हालांकि भारत सरकार ने बयान जारी करते हुए कहा है कि स्वास्थ्य मंत्रालय का को-विन पोर्टल डेटा प्राइवेसी के लिए सुरक्षा उपायों के साथ पूरी तरह सुरक्षित है. डेटा उल्लंघन की सभी रिपोर्ट बिना किसी आधार के और शरारतपूर्ण प्रकृति की हैं. स्वास्थ्य मंत्रालय ने सीईआरटी-इन से इस मुद्दे को देखने और एक रिपोर्ट प्रस्तुत करने की गुजारिश की है.
लीक हुए डेटासेट में पूर्व केंद्रीय स्वास्थ्य मंत्री हर्षवर्धन, केरल की स्वास्थ्य मंत्री वीना जॉर्ज, केंद्रीय मंत्री मीनाक्षी लेखी, कांग्रेस नेता केसी वेणुगोपाल और कार्ति चिदंबरम और भारतीय जनता पार्टी के तमिलनाडु अध्यक्ष के अन्नामलाई सहित कई सीनियर राजनेताओं की निजी जानकारी भी सामने आई है.
'Truecaller' नाम का टेलीग्राम Bot एक जून को बनाया गया था और इसे 'hak4learn' नाम के अकाउंट से चलाया जा रहा था. बाद में इसको सोमवार, 12 जून को हटा दिया गया था. हालांकि, FIT ने पाया कि Bot लगभग 12:30 बजे फिर से एक्टिव हो गया, लेकिन कोई रिजल्ट नहीं दे रहा था.
Bot में यूजर्स को किसी व्यक्ति का फोन नंबर या आधार नंबर इनपुट के तौर पर एंटर करना होता था, इसके बाद उसकी निजी डेटा का रिजल्ट में नजर आ जाता था.
यह इतना चिंताजनक क्यों है?
इस डेटाबेस की कम से कम एक से ज्यादा कॉपी उपलब्ध होने की बहुत अधिक संभावना है, जिसका मतलब है कि डेटाबेस एक्सेस वाला कोई भी व्यक्ति मोबाइल नंबर के जरिए रिवर्स क्वेरी कर सकता है.श्रीकांत एल, डिजिटल आइडेंटिटीज एक्सपर्ट
पर्सनल डेटा के इस तरह से पब्लिक में आने चिंतित होने की कई वजहें हैं.
DoB अन्य संवेदनशील जेटा से जुड़ी है
Bot आपको व्यक्तियों के जन्म की तारीख भी देता है, जो कई अन्य संवेदनशील और निजी डेटा से जुड़ा होता है.
कंज्यूमर अवेयरनेस कलेक्टिव के डिजिटल आइडेंटिटी एक्सपर्ट श्रीकांत एल ने FIT से बात करते हुए कहा
इस डेटा उल्लंघन के लिए यूनीक क्या है कि जन्म तारीख भी लीक हो गई है, जो न केवल आपके फोन नंबर, वोटर आईडी, पासपोर्ट से जुड़ा हुआ है बल्कि आपके म्यूचुअल फंड अकाउंट, आपकी इंस्योरेंस पॉलिसी और आपके अन्य खातों से भी जुड़ा हुआ है. इसके अलावा यह अक्सर पासवर्ड रीसेट करने के लिए भी इस्तेमाल किया जाता है. इसलिए जन्म की तारीख सेक्योरिटी के नजरिए से बेहद अहम है.
उल्लंघन का पैमाना
श्रीकांत कहते हैं कि इस उल्लंघन का पैमाना भी बहुत बड़ा है. अगर एक मोबाइल नंबर का उपयोग करके कई लोगों के लिए रजिस्ट्रेशन्स/अप्वाइंटपेंट्स की गई थी, तो Bot आपको उन सभी व्यक्तियों की जानकारी देता है. आपके व्यक्तिगत डेटा के साथ-साथ आपके परिवार के लोगों के डेटा से भी समझौता किया जाता है. यह एक एकल डेटाबेस है, जिसमें अरबों रिकॉर्ड हैं.
नाबालिगों का डाटा भी लीक
यह आपको नाबालिगों का डेटा भी देता है. श्रीकांत ने FIT को बताया कि उन्होंने Bot को एक्सेस किया. उन्होंने कुछ सार्वजनिक रूप से उपलब्ध आधार कार्ड नंबरों का उपयोग करने की भी कोशिश की, जैसे कि एक नाबालिग पीड़ित और गैर-मौजूद लोगों के कुछ अन्य फर्जी आधार कार्ड.
मैंने एक नाबालिग के सार्वजनिक रूप से उपलब्ध आधार कार्ड नंबर का उपयोग किया, जिसकी खुदकुशी से मौत हो गई थी. उसके डेटा से पता चला कि इस Bot के पास कम से कम जनवरी 2022 तक का डेटा है, जब 18 वर्ष से कम उम्र के लोगों के लिए कोरोना वैक्सीन की शुरुआत हुई थी.
श्रीकांत ने आगे यह भी बताया कि कैसे 'डिजिटल-फर्स्ट' टीकाकरण अभियान ने सरकार द्वारा केंद्रीकृत डेटा कलेक्शन को प्राइवेसी चिंताओं को पूरी तरह से अनदेखा करते हुए अनिवार्य रूप से सक्षम किया. जिसे अन्य देशों ने कागज आधारित टीकाकरण प्रमाणपत्र प्रदान करने के लिए उचित महत्व दिया.
पब्लिक हेल्थ के लिए इसका क्या मतलब?
पब्लिक हेल्थ एक्सपर्ट डॉ अनंत भान ने FIT से कहा कि यह एक चिंताजनक घटना है और हेल्थ डेटा की प्राइवेसी से निपटने और इसे प्राइवेट रखने में देखभाल और उचित परिश्रम के महत्व को पुष्ट करता है.
डॉ भान थोड़ा चिंतित हैं कि इस तरह की घटना से आम जनता के बीच "विश्वास टूट" सकता है. इससे हेल्थ डेटा शेयर करने या पब्लिक हेल्थ पहलों में भाग लेने से लोग दूरी बना सकते हैं.
उन्होंने आगे कहा कि तेजी से हेल्थ का डिजिटलीकरण किया जा रहा है और इस डेटा तक पहुंचने की क्षमता वाले स्टेकहोल्डर्स की संख्या भी बढ़ रही है, हमें इन जोखिमों से सावधान होने और सीख लेने की जरूरत होगी. ये ऐसे रिस्क हैं जिसके लिए हमेशा तैयार रहने की जरूरत है.
NHA के अध्यक्ष ने उल्लंघन से इनकार किया
CoWIN हाई पावर पैनल के चेयरमैन और नेशनल हेल्थ अथॉरिटी के सीईओ राम सेवक शर्मा ने The News Minute को बताया कि
डेटा का उल्लंघन कैसे हो सकता है? मुझे सबूत दीजिए, क्योंकि जब आप फोन नंबर डालते हैं तो वन टाइम पासवर्ड (OTP) उसी फोन नंबर पर आता है. किसी के लिए दूसरों के डेटा तक पहुंचना मुमकिन नहीं है.
पिछले साल जनवरी में भी शर्मा ने दावा किया था कि CoWIN के पास मॉडर्न सिक्योरिटी इन्फ्रास्ट्रक्चर है और उसे कभी भी सुरक्षा उल्लंघन का सामना नहीं करना पड़ा है.
CoWIN एप्लीकेशन लॉन्च किए जाने के बाद से अब तक जिस तरह के दावे किए गए और मौजूदा वक्त में जिस तरह से लोगों का डेटा लीक होने की रिपोर्ट आ रही हैं, इससे कुछ अहम सवाल उठ रहे हैं.
अब इस डेटाबेस तक किसकी पहुंच है?
इस डेटा का किस तरह से दुरुपयोग किया जा सकता है?
क्या इससे सरकार द्वारा की जा रही अन्य 'डिजिटल फर्स्ट' पहलों पर असर पड़ेगा?
इसकी जिम्मेदारी कौन लेगा?
(क्विंट हिन्दी, हर मुद्दे पर बनता आपकी आवाज, करता है सवाल. आज ही मेंबर बनें और हमारी पत्रकारिता को आकार देने में सक्रिय भूमिका निभाएं.)