Now Reading
यूपी के COVID-19 ट्रैकिंग सॉफ़्टवेयर में ख़ामियों के चलते लाखों लोगों की जानकारियों की सुरक्षा दाँव पर

यूपी के COVID-19 ट्रैकिंग सॉफ़्टवेयर में ख़ामियों के चलते लाखों लोगों की जानकारियों की सुरक्षा दाँव पर

COVID-19 के हालातों में जब बात ट्रेसिंग टूल की हो तो भारत का रिकॉर्ड बहुत अच्छा नहीं रहा है, और इसका उदाहरण हम Aarogya Setu को लेकर कई मामलों में देख चुकें हैं। लेकिन अब देश के सबसे अहम राज्यों में से एक उत्तर प्रदेश की राज्य सरकार का ट्रैकिंग टूल भी अधिक सुरक्षित नहीं है। दरसल साइबर सिक्योरिटी रिसर्च फर्म vpnMentor द्वारा प्रकाशित एक रिपोर्ट की समीक्षा के अनुसार vpnMentor ने इस ऐप में कुछ स्पष्ट ख़ामियों की पहचान की है।

दरसल उत्तर प्रदेश की राज्य सरकार द्वारा निर्मित “Surveillance Platform Uttar Pradesh Covid-19” नामक टूल को कोरोनोवायरस रोगियों को ट्रैक और ट्रेस करने के लक्ष्य के साथ लॉन्च किया गया है। लेकिन अब vpnMentor ने प्लेटफ़ॉर्म के भीतर एक ख़ामी का पता लगाया है जिससे यह टूल आसानी से हैकिंग और हमले का शिकार हो सकता है, जो उत्तर प्रदेश की कोरोना महामारी से जंग की कोशिशों को कमजोर कर सकता है।

आसान तौर पर बात करें तो इस vpnMentor नामक फ़र्म ने मुख्य रूप से तीन ख़ामियों का ज़िक्र किया है। सबसे पहले, यह कि Git Repository असुरक्षित है जिससे प्लेटफ़ॉर्म पर अकाउंट मैनेज करने वाले एडमिन पासवर्ड और SQL डेटा आदि में सेंध की जा सकती है। और इसके बाद, प्लेटफ़ॉर्म के एडमिन डैशबोर्ड के पासवर्ड को हासिल करना काफ़ी आसान हो जाता है। और अंत में, दैनिक COVID-19 रोगी रिपोर्ट वाली CSV फ़ाइलों की रिपोर्ट बिना पासवर्ड या किसी अन्य लॉगिन क्रेडेंशियल के साथ हासिल की जा सकती है।

असल में इस Git Repository के साथ किसी को भी प्लेटफ़ॉर्म के URL से लेकर एडमिन डैशबोर्ड तक पहुँच मिल जाएगी। इससे हैकर्स को कंट्रोलबेस पर जाने और इसको संशोधित करने, क्लोज़िंग केस फाइल्स, अलर्टिंग रोगियों के डेटा आदि को संशोधित करने, परीक्षण के परिणामों को संशोधित करने, स्वस्थ लोगों की रिपोर्ट से हेरफेर करने, टेस्टिंग रिज़ल्ट को बदलने आदि जैसी अनुमति भी मिल सकती है।

इसके अलावा, CSV फाइलों में उत्तर प्रदेश में COVID-19 के मरीज़ों की व्यक्तिगत रूप से पहचान के लिए हर एक की जानकारी Personally Identifiable Information (PII) डेटा के रूप में शामिल रहती है, जिसमें उसको पूरा नाम, उम्र, लिंग, निवास पता, फोन नंबर आदि शामिल होता है।

See Also
air-india-flight-from-trichy-faces-technical-problem

इसके साथ ही vpnMentor के अनुसार इसने उल्लंघनों को लेकर 10 अगस्त को भारत में इजरायली दूतावास से संपर्क किया था, लेकिन वहाँ से कोई प्रतिक्रिया नहीं मिली। इसके बाद 10 सितंबर तक इन ख़ामियों को ठीक किया गया था, वह भी तब जब वेबसाइट ने CERT-In से बिना किसी प्रतिक्रिया के कई बार संपर्क किया।

©प्रतिलिप्यधिकार (Copyright) 2014-2023 Blue Box Media Private Limited (India). सर्वाधिकार सुरक्षित.