यूपी के COVID-19 ट्रैकिंग सॉफ़्टवेयर में ख़ामियों के चलते लाखों लोगों की जानकारियों की सुरक्षा दाँव पर

COVID-19 के हालातों में जब बात ट्रेसिंग टूल की हो तो भारत का रिकॉर्ड बहुत अच्छा नहीं रहा है, और इसका उदाहरण हम Aarogya Setu को लेकर कई मामलों में देख चुकें हैं। लेकिन अब देश के सबसे अहम राज्यों में से एक उत्तर प्रदेश की राज्य सरकार का ट्रैकिंग टूल भी अधिक सुरक्षित नहीं है। दरसल साइबर सिक्योरिटी रिसर्च फर्म vpnMentor द्वारा प्रकाशित एक रिपोर्ट की समीक्षा के अनुसार vpnMentor ने इस ऐप में कुछ स्पष्ट ख़ामियों की पहचान की है।

दरसल उत्तर प्रदेश की राज्य सरकार द्वारा निर्मित “Surveillance Platform Uttar Pradesh Covid-19” नामक टूल को कोरोनोवायरस रोगियों को ट्रैक और ट्रेस करने के लक्ष्य के साथ लॉन्च किया गया है। लेकिन अब vpnMentor ने प्लेटफ़ॉर्म के भीतर एक ख़ामी का पता लगाया है जिससे यह टूल आसानी से हैकिंग और हमले का शिकार हो सकता है, जो उत्तर प्रदेश की कोरोना महामारी से जंग की कोशिशों को कमजोर कर सकता है।

आसान तौर पर बात करें तो इस vpnMentor नामक फ़र्म ने मुख्य रूप से तीन ख़ामियों का ज़िक्र किया है। सबसे पहले, यह कि Git Repository असुरक्षित है जिससे प्लेटफ़ॉर्म पर अकाउंट मैनेज करने वाले एडमिन पासवर्ड और SQL डेटा आदि में सेंध की जा सकती है। और इसके बाद, प्लेटफ़ॉर्म के एडमिन डैशबोर्ड के पासवर्ड को हासिल करना काफ़ी आसान हो जाता है। और अंत में, दैनिक COVID-19 रोगी रिपोर्ट वाली CSV फ़ाइलों की रिपोर्ट बिना पासवर्ड या किसी अन्य लॉगिन क्रेडेंशियल के साथ हासिल की जा सकती है।

असल में इस Git Repository के साथ किसी को भी प्लेटफ़ॉर्म के URL से लेकर एडमिन डैशबोर्ड तक पहुँच मिल जाएगी। इससे हैकर्स को कंट्रोलबेस पर जाने और इसको संशोधित करने, क्लोज़िंग केस फाइल्स, अलर्टिंग रोगियों के डेटा आदि को संशोधित करने, परीक्षण के परिणामों को संशोधित करने, स्वस्थ लोगों की रिपोर्ट से हेरफेर करने, टेस्टिंग रिज़ल्ट को बदलने आदि जैसी अनुमति भी मिल सकती है।

इसके अलावा, CSV फाइलों में उत्तर प्रदेश में COVID-19 के मरीज़ों की व्यक्तिगत रूप से पहचान के लिए हर एक की जानकारी Personally Identifiable Information (PII) डेटा के रूप में शामिल रहती है, जिसमें उसको पूरा नाम, उम्र, लिंग, निवास पता, फोन नंबर आदि शामिल होता है।

See Also

भारत में एक और iPhone प्लांट खरीद सकता है TATA Group, Pegatron के साथ बातचीत – रिपोर्ट

इसके साथ ही vpnMentor के अनुसार इसने उल्लंघनों को लेकर 10 अगस्त को भारत में इजरायली दूतावास से संपर्क किया था, लेकिन वहाँ से कोई प्रतिक्रिया नहीं मिली। इसके बाद 10 सितंबर तक इन ख़ामियों को ठीक किया गया था, वह भी तब जब वेबसाइट ने CERT-In से बिना किसी प्रतिक्रिया के कई बार संपर्क किया।