CoWIN Data Breach privacy India सरकार कह रही डेटा लीक नहीं हुआ लेकिन इन 5 सवालों का जबाव कौन देगा? CoWIN Data Breach telegram bot covid 19 vaccine unanswered questions privacy

CoWIN Data Breach: क्या COVID-19 वैक्सीनेशन के लिए बने सरकारी पोर्टल, CoWIN पर रजिस्ट्रेशन कराने वाले नागरिकों का डेटा लीक हो गया है? केंद्र सरकार ने सोमवार, 12 जून की शाम को ऐसी खबरों का खंडन किया है.

इससे पहले न्यूज पोर्टल मनोरमा और द फोर्थ न्यूज ने यह खबर प्रसारित की थी कि 'hak4learn' द्वारा संचालित 'Truecaller' नामक एक टेलीग्राम बॉट व्यक्तियों की संवेदनशील जानकारी मुहैया करा रहा था. ऐसी संवेदनशील जानकारी के लिए केवल उस इंसान का फोन या आधार नंबर इनपुट करने की जरूरत थी.

“ऐसी सभी रिपोर्ट बेबुनियाद हैं. इनका मकसद सिर्फ अराजकता फैलाना है. डेटा प्राईवेसी के लिए पर्याप्त सुरक्षा उपायों के साथ स्वास्थ्य मंत्रालय का CoWIN पोर्टल पूरी तरह से सुरक्षित है. CoWIN पोर्टल में डेटा की सुरक्षा सुनिश्चित करने के लिए सभी कदम उठाए गए हैं और उठाए जा रहे हैं”

केंद्र सरकार का बयान

लेकिन कई ऐसे प्रश्न अभी भी बचे हुए हैं जिनका जवाब नहीं दिया गया है.

CoWIN Breach: सरकार का दावा डेटा लीक नहीं हुआ लेकिन 5 सवालों का जबाव कौन देगा?

1. यदि कोई लीक नहीं हुआ, तो डेटा कहां से आ रहा है?
टेलीग्राम बॉट कई संवेदनशील जानकारी दे रहा था जैसे
फोन नंबर
लिंग/सेक्स
आधार/पासपोर्ट नंबर
जन्म की तारीख
वह स्थान जहां वैक्सीन डोज दी गई थी
एक ही नंबर से अपॉइंटमेंट बुक करने वाले सभी लोगों के डिटेल्स

यदि सरकार दावा कर रही है कि CoWIN के माध्यम से एकत्र किया गया डेटा सुरक्षित है, तो ये डेटा सेट कहां से आए?
Expand
2. यदि डेटा पहले के किसी लीक से है, तो इसमें CoWIN पर अपलोड की गयी जानकारी कैसे है?
केंद्रीय उद्यमिता, कौशल विकास, इलेक्ट्रॉनिक्स और प्रौद्योगिकी राज्य मंत्री राजीव चंद्रशेखर ने ट्विटर पर कहा कि CoWIN डेटा सुरक्षित है, बॉट द्वारा एक्सेस किया गया डेटा पहले से चुराया गया डेटा लगता है.
With ref to some Alleged Cowin data breaches reported on social media, @IndianCERT has immdtly responded n reviewed this

âA Telegram Bot was throwing up Cowin app details upon entry of phone numbers

âThe data being accessed by bot from a threat actor database, which seems toâ¦
— Rajeev Chandrasekhar ð®ð³ (@Rajeev_GoI) June 12, 2023

इसे थोड़ा आसानी से समझते हैं. कल्पना कीजिए कि A ने वैक्सीन लगवाने के लिए खुद को CoWIN पर रजिस्टर किया और वेबसाइट पर अपना आधार और फोन नंबर दर्ज किया. A ने XYZ कारण से किसी अन्य संस्था को भी इसकी जानकारी प्रदान की.
चंद्रशेखर कह रहे हैं कि CoWIN पर अपलोड की गई जानकारी बिल्कुल सुरक्षित है. लेकिन लगता है कि डेटा पहले कहीं और से चोरी किया गया है. हम इसे आसानी से स्वीकार भी कर लेते लेकिन लीक डेटा में उस लोकेशन की जानकारी कैसे आई जहां व्यक्ति को वैक्सीन का डोज दिया गया था? बॉट द्वारा इसकी भी जानकारी दी जा रही है कि कितने लोगों ने एक साथ अपोईंटमेंट बुक किया था.
बॉट द्वारा आपको जो डेटा दिया जाता है, ऐसा लगता है जैसे इसका सोर्स CoWIN है.
हां, हो सकता है A व्यक्ति ने कई कारणों से कई वेबसाइटों पर अपना फोन नंबर, जन्मतिथि आदि अपलोड किया हो, जहां से इसे आसानी से चुराया जा सकता था. लेकिन उन्होंने यह डिटेल तो अपलोड नहीं किए होंगे कि उनके परिवार में किस-किस ने एक ही नंबर से CoWIN पर रजिस्ट्रेशन कराया था और उन्होंने कहां वैक्सीन लगाया गया था?
2021 में, सरकार ने वैक्सीन रजिस्ट्रेशन, अपॉइंटमेंट बुकिंग और यहां तक कि वैक्सीन सर्टिफिकेट डाउनलोड करने जैसे उद्देश्यों के लिए CoWIN के साथ थर्ड पार्टी ऐप्स और सेवाओं के एकीकरण की इजाजत दी थी.
क्या यह संभव है कि डेटा कथित रूप से इसलिए लीक हो गया है क्योंकि इन थर्ड पार्टी प्लेटफार्मों को भेदा जा सकता है? दूसरी ओर, यदि CoWIN डेटा का कथित रूप से ब्रीच किया गया था, तो क्या इन थर्ड पार्टी प्लेटफ़ॉर्म पर जमा डेटा भी खतरे में है?
Expand
3. ये डेटा लीक कैसे हुआ?
केंद्र ने सोमवार को जारी किए गए अपने बयान में कहा है कि CoWIN पर डेटा की सुरक्षा के लिए ये सुरक्षा उपाय किए गए हैं.
वेब एप्लीकेशन फायरवॉल
एंटी-DDoS
SSL/TLS
नियमित रूप से इसके भेद्यता की जांच
पहचान और एक्सेस मैनेजमेंट
OTP से ऑथेंटिकेशन
केंद्र ने यह भी कहा है कि केवल CoWIN- लाभार्थी, CoWIN अधिकृत उपयोगकर्ता और सरकार से संबंधित थर्ड पार्टी ऐप्लिकेशन ही डेटा एक्सेस कर सकते हैं.
यदि ये सभी उपाय वास्तव में मौजूद हैं, तो डेटा फिर भी लीक कैसे हुआ? लीक का बिंदु क्या है और क्या इसे ठीक किया गया है? यदि डेटा अतीत में ब्रीच हुआ था, तो यह अभी सामने क्यों आ रहा है? इसके अलावा, जिसने भी लीक किया, वे इसे मुफ्त में क्यों दे रहे हैं? क्या डेटा पहले हैकर फोरम पर खरीदारी के लिए उपलब्ध था?
Expand
4. यह डेटा किसके-किसके पास पहुंचा?
बॉट को 1 जून को बनाया गया था और मीडिया रिपोर्ट्स के आने के बाद 12 जून को जल्द इसे हटा दिया गया था.
इन 12 दिनों में कितने लोगों ने बॉट और डेटा एक्सेस किया, इस बारे में अभी तक कोई स्पष्टता नहीं है.
फिट से बात करते हुए, उपभोक्ता जागरूकता समूह के एक डिजिटल पहचान विशेषज्ञ, श्रीकांत एल ने कहा कि
यह डेटा अभी भी शायद कंपनियों को बेचा जा सकता है, लेकिन डेटासेट की अन्य कापी भी मौजूद होंगी, जिसका अर्थ है कि बहुत से लोग करोड़ों लोगों की निजी जानकारी प्राप्त कर सकते हैं.
Expand
5. इस डेटा का गलत इस्तेमाल कैसे किया जा सकता है?
इस तरह का डेटा ब्रीच और इतनी संवेदनशील जानकारी का लीक होना चिंता का विषय है.
श्रीकांत ने फिट को बताया था,
"इस डेटा लीक में अनोखी बात यह है कि जन्म तिथि भी लीक हो गई है जो न केवल आपके फोन नंबर, वोटर आईडी, पासपोर्ट से जुड़ा हुआ है, बल्कि आपके म्यूचुअल फंड अकाउंट, आपकी बीमा पॉलिसी, या अन्य अकाउंट से भी जुड़ा हुआ है. अक्सर पासवर्ड रीसेट करने के लिए भी इसका इस्तेमाल किया जाता है. जन्म की तारीख सुरक्षा के दृष्टिकोण से बहुत महत्वपूर्ण है अब वो भी कंप्रोमाइज हो गया है"
लेकिन यहां सबसे बड़ा मुद्दा यह है कि नाबालिगों के डेटासेट में भी सेंध लगाई गई है. ब्रीच के बारे में खबरें सामने आने के बाद श्रीकांत ने बॉट का उपयोग किया और सार्वजनिक रूप से उपलब्ध आधार कार्ड नंबरों का उपयोग करके, उन्होंने तमिलनाडु के एक ऐसे नाबालिग का निजी डेटा प्राप्त कर लिया जिसकी आत्महत्या से मृत्यु हो गई थी.
अब डर इस बात का है कि खासकर नाबालिगों के डेटा का दुरुपयोग हो सकता है.
क्विंट फिट ने स्वास्थ्य मंत्रालय और इलेक्ट्रॉनिक्स और सूचना प्रौद्योगिकी मंत्रालय से संपर्क किया है. उनकी प्रतिक्रिया के साथ इस स्टोरी को अपडेट किया जाएगा.
(क्विंट हिन्दी, हर मुद्दे पर बनता आपकी आवाज, करता है सवाल. आज ही मेंबर बनें और हमारी पत्रकारिता को आकार देने में सक्रिय भूमिका निभाएं.)
Expand

यदि कोई लीक नहीं हुआ, तो डेटा कहां से आ रहा है?

टेलीग्राम बॉट कई संवेदनशील जानकारी दे रहा था जैसे

फोन नंबर
लिंग/सेक्स
आधार/पासपोर्ट नंबर
जन्म की तारीख
वह स्थान जहां वैक्सीन डोज दी गई थी
एक ही नंबर से अपॉइंटमेंट बुक करने वाले सभी लोगों के डिटेल्स

यदि सरकार दावा कर रही है कि CoWIN के माध्यम से एकत्र किया गया डेटा सुरक्षित है, तो ये डेटा सेट कहां से आए?

ADVERTISEMENTREMOVE AD

यदि डेटा पहले के किसी लीक से है, तो इसमें CoWIN पर अपलोड की गयी जानकारी कैसे है?

केंद्रीय उद्यमिता, कौशल विकास, इलेक्ट्रॉनिक्स और प्रौद्योगिकी राज्य मंत्री राजीव चंद्रशेखर ने ट्विटर पर कहा कि CoWIN डेटा सुरक्षित है, बॉट द्वारा एक्सेस किया गया डेटा पहले से चुराया गया डेटा लगता है.

With ref to some Alleged Cowin data breaches reported on social media, @IndianCERT has immdtly responded n reviewed this

âA Telegram Bot was throwing up Cowin app details upon entry of phone numbers

âThe data being accessed by bot from a threat actor database, which seems toâ¦
— Rajeev Chandrasekhar ð®ð³ (@Rajeev_GoI) June 12, 2023

इसे थोड़ा आसानी से समझते हैं. कल्पना कीजिए कि A ने वैक्सीन लगवाने के लिए खुद को CoWIN पर रजिस्टर किया और वेबसाइट पर अपना आधार और फोन नंबर दर्ज किया. A ने XYZ कारण से किसी अन्य संस्था को भी इसकी जानकारी प्रदान की.

चंद्रशेखर कह रहे हैं कि CoWIN पर अपलोड की गई जानकारी बिल्कुल सुरक्षित है. लेकिन लगता है कि डेटा पहले कहीं और से चोरी किया गया है. हम इसे आसानी से स्वीकार भी कर लेते लेकिन लीक डेटा में उस लोकेशन की जानकारी कैसे आई जहां व्यक्ति को वैक्सीन का डोज दिया गया था? बॉट द्वारा इसकी भी जानकारी दी जा रही है कि कितने लोगों ने एक साथ अपोईंटमेंट बुक किया था.

बॉट द्वारा आपको जो डेटा दिया जाता है, ऐसा लगता है जैसे इसका सोर्स CoWIN है.

हां, हो सकता है A व्यक्ति ने कई कारणों से कई वेबसाइटों पर अपना फोन नंबर, जन्मतिथि आदि अपलोड किया हो, जहां से इसे आसानी से चुराया जा सकता था. लेकिन उन्होंने यह डिटेल तो अपलोड नहीं किए होंगे कि उनके परिवार में किस-किस ने एक ही नंबर से CoWIN पर रजिस्ट्रेशन कराया था और उन्होंने कहां वैक्सीन लगाया गया था?

2021 में, सरकार ने वैक्सीन रजिस्ट्रेशन, अपॉइंटमेंट बुकिंग और यहां तक कि वैक्सीन सर्टिफिकेट डाउनलोड करने जैसे उद्देश्यों के लिए CoWIN के साथ थर्ड पार्टी ऐप्स और सेवाओं के एकीकरण की इजाजत दी थी.

क्या यह संभव है कि डेटा कथित रूप से इसलिए लीक हो गया है क्योंकि इन थर्ड पार्टी प्लेटफार्मों को भेदा जा सकता है? दूसरी ओर, यदि CoWIN डेटा का कथित रूप से ब्रीच किया गया था, तो क्या इन थर्ड पार्टी प्लेटफ़ॉर्म पर जमा डेटा भी खतरे में है?

ये डेटा लीक कैसे हुआ?

केंद्र ने सोमवार को जारी किए गए अपने बयान में कहा है कि CoWIN पर डेटा की सुरक्षा के लिए ये सुरक्षा उपाय किए गए हैं.

वेब एप्लीकेशन फायरवॉल
एंटी-DDoS
SSL/TLS
नियमित रूप से इसके भेद्यता की जांच
पहचान और एक्सेस मैनेजमेंट
OTP से ऑथेंटिकेशन

केंद्र ने यह भी कहा है कि केवल CoWIN- लाभार्थी, CoWIN अधिकृत उपयोगकर्ता और सरकार से संबंधित थर्ड पार्टी ऐप्लिकेशन ही डेटा एक्सेस कर सकते हैं.

यदि ये सभी उपाय वास्तव में मौजूद हैं, तो डेटा फिर भी लीक कैसे हुआ? लीक का बिंदु क्या है और क्या इसे ठीक किया गया है? यदि डेटा अतीत में ब्रीच हुआ था, तो यह अभी सामने क्यों आ रहा है? इसके अलावा, जिसने भी लीक किया, वे इसे मुफ्त में क्यों दे रहे हैं? क्या डेटा पहले हैकर फोरम पर खरीदारी के लिए उपलब्ध था?

ADVERTISEMENTREMOVE AD

यह डेटा किसके-किसके पास पहुंचा?

बॉट को 1 जून को बनाया गया था और मीडिया रिपोर्ट्स के आने के बाद 12 जून को जल्द इसे हटा दिया गया था.

इन 12 दिनों में कितने लोगों ने बॉट और डेटा एक्सेस किया, इस बारे में अभी तक कोई स्पष्टता नहीं है.

फिट से बात करते हुए, उपभोक्ता जागरूकता समूह के एक डिजिटल पहचान विशेषज्ञ, श्रीकांत एल ने कहा कि

यह डेटा अभी भी शायद कंपनियों को बेचा जा सकता है, लेकिन डेटासेट की अन्य कापी भी मौजूद होंगी, जिसका अर्थ है कि बहुत से लोग करोड़ों लोगों की निजी जानकारी प्राप्त कर सकते हैं.

ADVERTISEMENTREMOVE AD

इस डेटा का गलत इस्तेमाल कैसे किया जा सकता है?

इस तरह का डेटा ब्रीच और इतनी संवेदनशील जानकारी का लीक होना चिंता का विषय है.

श्रीकांत ने फिट को बताया था,

"इस डेटा लीक में अनोखी बात यह है कि जन्म तिथि भी लीक हो गई है जो न केवल आपके फोन नंबर, वोटर आईडी, पासपोर्ट से जुड़ा हुआ है, बल्कि आपके म्यूचुअल फंड अकाउंट, आपकी बीमा पॉलिसी, या अन्य अकाउंट से भी जुड़ा हुआ है. अक्सर पासवर्ड रीसेट करने के लिए भी इसका इस्तेमाल किया जाता है. जन्म की तारीख सुरक्षा के दृष्टिकोण से बहुत महत्वपूर्ण है अब वो भी कंप्रोमाइज हो गया है"

लेकिन यहां सबसे बड़ा मुद्दा यह है कि नाबालिगों के डेटासेट में भी सेंध लगाई गई है. ब्रीच के बारे में खबरें सामने आने के बाद श्रीकांत ने बॉट का उपयोग किया और सार्वजनिक रूप से उपलब्ध आधार कार्ड नंबरों का उपयोग करके, उन्होंने तमिलनाडु के एक ऐसे नाबालिग का निजी डेटा प्राप्त कर लिया जिसकी आत्महत्या से मृत्यु हो गई थी.

अब डर इस बात का है कि खासकर नाबालिगों के डेटा का दुरुपयोग हो सकता है.

क्विंट फिट ने स्वास्थ्य मंत्रालय और इलेक्ट्रॉनिक्स और सूचना प्रौद्योगिकी मंत्रालय से संपर्क किया है. उनकी प्रतिक्रिया के साथ इस स्टोरी को अपडेट किया जाएगा.

(क्विंट हिन्दी, हर मुद्दे पर बनता आपकी आवाज, करता है सवाल. आज ही मेंबर बनें और हमारी पत्रकारिता को आकार देने में सक्रिय भूमिका निभाएं.)

मेंबर बनें

CoWIN Breach: सरकार का दावा डेटा लीक नहीं हुआ लेकिन 5 सवालों का जबाव कौन देगा?

CoWIN Data Breach के आरोपों का केंद्र सरकार ने खंडन किया है लेकिन बॉट CoWIN पर अपलोड की गयी जानकारी कैसे दे रहा था?

CoWIN Breach: सरकार का दावा डेटा लीक नहीं हुआ लेकिन 5 सवालों का जबाव कौन देगा?

1. यदि कोई लीक नहीं हुआ, तो डेटा कहां से आ रहा है?

2. यदि डेटा पहले के किसी लीक से है, तो इसमें CoWIN पर अपलोड की गयी जानकारी कैसे है?

3. ये डेटा लीक कैसे हुआ?

4. यह डेटा किसके-किसके पास पहुंचा?

5. इस डेटा का गलत इस्तेमाल कैसे किया जा सकता है?

यदि कोई लीक नहीं हुआ, तो डेटा कहां से आ रहा है?

यदि डेटा पहले के किसी लीक से है, तो इसमें CoWIN पर अपलोड की गयी जानकारी कैसे है?

ये डेटा लीक कैसे हुआ?

यह डेटा किसके-किसके पास पहुंचा?

इस डेटा का गलत इस्तेमाल कैसे किया जा सकता है?

क्विंट हिंदी पर लेटेस्ट न्यूज और ब्रेकिंग न्यूज़ पढ़ें, news और india के लिए ब्राउज़ करें

टॉपिक: COVID19