साइबरसिक्योरिटी फर्म शैडो मैप ने 12 अगस्त को आरोग्य सेतु ऐप के कोड में कुछ ऐसे हिस्सों और बैक-एंड कंपोनेंट का पता लगाया, जो 150 मिलियन यूजर का डेटा खतरे में डाल सकता है.
हिंदुस्तान टाइम्स की खबर के मुताबिक, शैडो मैप को एक सरकारी वेबसाइट पर आरोग्य सेतु के डेवलपर्स के इस्तेमाल किए हुए लॉग-इन क्रेडेंशियल मिले.
क्या है सुरक्षा खामी?
रिपोर्ट का कहना है कि ऐप के एक डेवलपर ने अनजाने में आरोग्य सेतु के लॉग-इन क्रेडेंशियल अपलोड कर दिए थे. इसकी वजह से शैडो मैप की रिसर्च टीम को ऐप के कोड और जरूरी सॉफ्टवेयर का एक्सेस मिल गया.
रिपोर्ट में कहा गया कि शैडो मैप ने इस दिक्कत के बारे में आरोग्य सेतु टीम को बताया, जिसके बाद इसे ठीक कर दिया गया.
शैडो मैप की रिसर्च टीम ने इस सुरक्षा खामी के डिटेल सोर्स कोड के स्क्रीनशॉट और ऐप के बैक-एंड स्ट्रक्चर के साथ एक ब्लॉग में पोस्ट किया था. हालांकि, अब इस पोस्ट को हटा दिया गया है.
खामी का पता कैसे लगा?
लॉग-इन क्रेडेंशियल GitHub वेबसाइट पर पाए गए थे. ये वेबसाइट एक कोड-शेयरिंग प्लेटफॉर्म है, जिस पर डेवलपर्स और प्रोग्रामर्स अपने काम को शेयर करते हैं.
- लॉग-इन क्रेडेंशियल की डिस्कवरी उस समय हुई जब रिसर्च टीम सरकारी वेबसाइटों को सार्वजनिक रूप से उपलब्ध डेटा के लिए खोज रही थी.
- आरोग्य सेतु के एक डेवलपर के गलती से ऐप के रूट फोल्डर को पब्लिक वेबरूट पर पब्लिश करने के बाद ऐप के सर्वर अपडेट किए गए थे.
- आरोग्य सेतु के यूजरनेम और पासवर्ड की जानकारी प्लेन टेक्स्ट में मौजूद थी.
- शैडो मैप को आरोग्य सेतु के छुपे हुए डेटा का एक्सेस मिल गया था. इस डेटा में 'ऑथेंटिकेशन कीस' शामिल थीं, जिनके जरिए यूजर डेटा को एक्सेस किया जा सकता है.
- ये सुरक्षा खामी ऐप के यूजर के लिए बहुत महंगी साबित हो सकती है.
अगर किसी यूजर को GitHub या उनके क्लाउड प्लेटफॉर्म का एक्सेस मिल जाता है, तो वो आसानी से ऐप में मालवेयर डाल सकता है, जो फिर आगे 150 मिलियन यूजर के पास पहुंच जाएगा.शैडो मैप के फाउंडर यश कड़ाकिया ने HT से कहा
ये ऐप के यूजर को कैसे प्रभावित करेगा?
आरोग्य सेतु कोरोना वायरस ट्रैकिंग एप्लीकेशन है, जिसमें कई मिलियन यूजर का डेटा स्टोर है. इस ऐप की कई प्राइवेसी एक्सपर्ट्स आलोचना कर चुके हैं क्योंकि ये बड़ी तादाद में यूजर का डेटा स्टोर करता है, जिसका कोई गलत इरादे से फायदा उठा सकता है.
इस केस में अगर संवेदनशील जानकारी हैकर के हाथ लग जाती तो कई मिलियन यूजर की लोकेशन, हेल्थ डेटा और कॉन्टैक्ट इंफॉर्मेशन लीक हो जाती.
सरकार ने क्या कहा?
आरोग्य सेतु की टीम ने ऐसी किसी भी खामी से इनकार किया है और शैडो मैप की रिपोर्ट को 'दुर्भावनापूर्ण, बेईमान और बिना किसी आधार' के बताया है.
आरोग्य सेतु की इंचार्ज MyGov के सीईओ अभिषेक सिंह ने एक बयान जारी कर आश्वासन दिया कि कोई यूजर डेटा एक्सपोज नहीं हुआ है और कहा कि सरकार शैडो मैप की पैरेंट कंपनी सिक्योरिटी ब्रिगेड के खिलाफ लीगल एक्शन लेगी.
शैडो मैप के ब्लॉग पोस्ट डिलीट करने के बाद सिंह का बयान हटा लिया गया.
मिनिस्ट्री ऑफ इलेक्ट्रॉनिक्स एंड आईटी (MeiTY) ने सिक्योरिटी ब्रिगेड पर आरोग्य सेतु प्रोजेक्ट में इंगेजमेंट टर्म्स का उल्लंघन करने का आरोप लगाया. मिनिस्ट्री ने कहा, “सिक्योरिटी ब्रिगेड ऐप के कोड के रिव्यूअर में से एक थी और कोड से संबंधित विश्वसनीय जानकारी उसके साथ शेयर की गई थी.”
आरोपों पर सिक्योरिटी ब्रिगेड का जवाब
सिक्योरिटी ब्रिगेड ने सभी आरोपों को खारिज किया है और कहा कि रिपोर्ट GitHub पर मिली एक खामी पर आधारित थी. कंपनी ने कहा कि उसने कीस का इस्तेमाल डेटाबेस एक्सेस करने में नहीं किया है और प्रवक्ता ने कहा कि कंपनी को नहीं पता है कि किसी हैकर ने कोई ब्रीच किया है.
"आरोग्य सेतु ने छह संगठनों को एंड्रॉइड सोर्स कोड दिया था और ये सब बग बाउंटी के ऐलान से पहले हुआ था. ये एंड्रॉइड सोर्स कोड सबके लिए GitHub पर मौजूद था और हमारे आर्टिकल का इससे कोई संबंध नहीं था. “
कंपनी ने कहा कि आरोग्य सेतु ओपन सोर्स प्रोजेक्ट से जुड़ा सभी डेटा उसने 'जिम्मेदारी के साथ NIC, CERT और ऐप की टीम के साथ शेयर किया था.'
(क्विंट हिन्दी, हर मुद्दे पर बनता आपकी आवाज, करता है सवाल. आज ही मेंबर बनें और हमारी पत्रकारिता को आकार देने में सक्रिय भूमिका निभाएं.)