Now Reading
यूपी के COVID-19 ट्रैकिंग सॉफ़्टवेयर में ख़ामियों के चलते लाखों लोगों की जानकारियों की सुरक्षा दाँव पर

यूपी के COVID-19 ट्रैकिंग सॉफ़्टवेयर में ख़ामियों के चलते लाखों लोगों की जानकारियों की सुरक्षा दाँव पर

COVID-19 के हालातों में जब बात ट्रेसिंग टूल की हो तो भारत का रिकॉर्ड बहुत अच्छा नहीं रहा है, और इसका उदाहरण हम Aarogya Setu को लेकर कई मामलों में देख चुकें हैं। लेकिन अब देश के सबसे अहम राज्यों में से एक उत्तर प्रदेश की राज्य सरकार का ट्रैकिंग टूल भी अधिक सुरक्षित नहीं है। दरसल साइबर सिक्योरिटी रिसर्च फर्म vpnMentor द्वारा प्रकाशित एक रिपोर्ट की समीक्षा के अनुसार vpnMentor ने इस ऐप में कुछ स्पष्ट ख़ामियों की पहचान की है।

दरसल उत्तर प्रदेश की राज्य सरकार द्वारा निर्मित “Surveillance Platform Uttar Pradesh Covid-19” नामक टूल को कोरोनोवायरस रोगियों को ट्रैक और ट्रेस करने के लक्ष्य के साथ लॉन्च किया गया है। लेकिन अब vpnMentor ने प्लेटफ़ॉर्म के भीतर एक ख़ामी का पता लगाया है जिससे यह टूल आसानी से हैकिंग और हमले का शिकार हो सकता है, जो उत्तर प्रदेश की कोरोना महामारी से जंग की कोशिशों को कमजोर कर सकता है।

आसान तौर पर बात करें तो इस vpnMentor नामक फ़र्म ने मुख्य रूप से तीन ख़ामियों का ज़िक्र किया है। सबसे पहले, यह कि Git Repository असुरक्षित है जिससे प्लेटफ़ॉर्म पर अकाउंट मैनेज करने वाले एडमिन पासवर्ड और SQL डेटा आदि में सेंध की जा सकती है। और इसके बाद, प्लेटफ़ॉर्म के एडमिन डैशबोर्ड के पासवर्ड को हासिल करना काफ़ी आसान हो जाता है। और अंत में, दैनिक COVID-19 रोगी रिपोर्ट वाली CSV फ़ाइलों की रिपोर्ट बिना पासवर्ड या किसी अन्य लॉगिन क्रेडेंशियल के साथ हासिल की जा सकती है।

असल में इस Git Repository के साथ किसी को भी प्लेटफ़ॉर्म के URL से लेकर एडमिन डैशबोर्ड तक पहुँच मिल जाएगी। इससे हैकर्स को कंट्रोलबेस पर जाने और इसको संशोधित करने, क्लोज़िंग केस फाइल्स, अलर्टिंग रोगियों के डेटा आदि को संशोधित करने, परीक्षण के परिणामों को संशोधित करने, स्वस्थ लोगों की रिपोर्ट से हेरफेर करने, टेस्टिंग रिज़ल्ट को बदलने आदि जैसी अनुमति भी मिल सकती है।

इसके अलावा, CSV फाइलों में उत्तर प्रदेश में COVID-19 के मरीज़ों की व्यक्तिगत रूप से पहचान के लिए हर एक की जानकारी Personally Identifiable Information (PII) डेटा के रूप में शामिल रहती है, जिसमें उसको पूरा नाम, उम्र, लिंग, निवास पता, फोन नंबर आदि शामिल होता है।

See Also
India advisory its citizens not to go to Iran-Israel

इसके साथ ही vpnMentor के अनुसार इसने उल्लंघनों को लेकर 10 अगस्त को भारत में इजरायली दूतावास से संपर्क किया था, लेकिन वहाँ से कोई प्रतिक्रिया नहीं मिली। इसके बाद 10 सितंबर तक इन ख़ामियों को ठीक किया गया था, वह भी तब जब वेबसाइट ने CERT-In से बिना किसी प्रतिक्रिया के कई बार संपर्क किया।

©प्रतिलिप्यधिकार (Copyright) 2014-2023 Blue Box Media Private Limited (India). सर्वाधिकार सुरक्षित.