समझाया | कथित CoWIN डेटा लीक से क्या पता चलता है?

CoWIN भारत के COVID-19 वैक्सीन रोलआउट के प्रशासन और प्रबंधन के लिए 2021 में स्थापित एक सरकारी स्वामित्व वाला वेब पोर्टल है। फ़ाइल | फोटो क्रेडिट: द हिंदू

अब तक कहानी: 12 जून को, रिपोर्ट्स सामने आईं कि मैसेजिंग प्लेटफॉर्म टेलीग्राम पर एक बॉट कथित रूप से उन भारतीय नागरिकों के व्यक्तिगत डेटा को वापस कर रहा था, जिन्होंने टीकाकरण उद्देश्यों के लिए COVID-19 वैक्सीन इंटेलिजेंस नेटवर्क (CoWIN) पोर्टल पर पंजीकरण कराया था। फोन नंबर डालने पर बॉट ने नाम, आधार और पासपोर्ट नंबर जैसी निजी जानकारी उगल दी। उसी दिन, स्वास्थ्य मंत्रालय ने डेटा उल्लंघन की खबरों का खंडन किया और कहा कि आरोप “शरारती प्रकृति के” थे। इसमें कहा गया है कि इंडियन कंप्यूटर इमरजेंसी रिस्पांस टीम (सीईआरटी-इन) पोर्टल के मौजूदा सुरक्षा ढांचे की समीक्षा कर रही है। अलग से, इलेक्ट्रॉनिक्स और आईटी राज्य मंत्री राजीव चंद्रशेखर ने कहा कि नोडल साइबर सुरक्षा एजेंसी ने कथित उल्लंघन की समीक्षा की और पाया कि CoWIN प्लेटफॉर्म “सीधे उल्लंघन” नहीं था।

CoWIN पोर्टल क्या ट्रैक करता है?

CoWIN भारत के COVID-19 वैक्सीन रोलआउट के प्रशासन और प्रबंधन के लिए 2021 में स्थापित एक सरकारी स्वामित्व वाला वेब पोर्टल है। हेल्थ रजिस्टर-स्टाइल प्लेटफॉर्म मौजूदा सार्वजनिक डिजिटल इंफ्रास्ट्रक्चर जैसे इलेक्ट्रॉनिक वैक्सीन इंटेलिजेंस नेटवर्क (eVIN) का लाभ उठाता है, एक ऐप जो देश में वैक्सीन कोल्ड चेन पर डेटा प्रदान करता है; सत्यापन योग्य ओपन क्रेडेंशियल के लिए डिजिटल इन्फ्रास्ट्रक्चर (DIVOC), एक वैक्सीन प्रमाणपत्र जारीकर्ता; और टीकाकरण के बाद की घटनाओं के लिए निगरानी और कार्रवाई (SAFE-VAC), एक टीका प्रतिकूल घटना ट्रैकर।

मंच, वास्तविक समय के आधार पर, राष्ट्रीय, राज्य और जिला स्तरों पर टीकों और लाभार्थियों को ट्रैक करता है। यह टीके के उपयोग और बर्बादी पर नज़र रखता है, और शीशियों की एक सूची रखता है। नागरिकों के लिए, CoWIN पहचान की पुष्टि करता है, वैक्सीन अपॉइंटमेंट शेड्यूल करने में मदद करता है और वैक्सीन सर्टिफिकेट जारी करता है। डाटाबेस चार अलग-अलग इनपुट धाराओं से बहने वाली जानकारी को कैप्चर करता है – नागरिक पंजीकरण; स्वास्थ्य केंद्र; टीका सूची; और टीका प्रमाण पत्र। प्रत्येक धारा स्वतंत्र रूप से कार्य करती है, और साथ ही अतिरेक को कम करने के लिए डेटा का आदान-प्रदान करती है। प्लेटफ़ॉर्म एक माइक्रोसर्विसेज-आधारित, क्लाउड-नेटिव आर्किटेक्चर है, जिसे Amazon Web Services (AWS) पर ग्राउंड अप से विकसित किया गया है। एक माइक्रोसर्विस आर्किटेक्चर एक पैटर्न है जो एक एप्लिकेशन को शिथिल रूप से जुड़ी, ठीक-ठाक सेवाओं के संग्रह के रूप में व्यवस्थित करता है। ये सेवाएं निश्चित सेट प्रोटोकॉल के माध्यम से एक दूसरे के साथ बातचीत करती हैं।

डेटा उल्लंघन की पृष्ठभूमि क्या है?

यह पहली बार नहीं है जब डेटा लीक की खबरें सामने आई हैं। जनवरी 2022 में, भारत में हजारों लोगों का व्यक्तिगत डेटा कथित तौर पर एक सरकारी सर्वर से लीक हो गया था। जानकारी में COVID-19 परीक्षा परिणाम, फोन नंबर, नागरिकों के नाम और पते शामिल थे। डेटा को ऑनलाइन खोज के माध्यम से एक्सेस किया जा सकता है। दिसंबर में, एक अलग सुरक्षा उल्लंघन में, एक ईरानी हैकर ने CoWIN डेटाबेस से डेटा रखने का दावा किया।

डेटा लीक की दोनों रिपोर्टों को इलेक्ट्रॉनिक्स और सूचना प्रौद्योगिकी मंत्रालय (MeitY) ने खारिज कर दिया था। इन डेटा लीक के संबंध में सीईआरटी-इन द्वारा की जा रही किसी भी जांच का कोई रिकॉर्ड नहीं है। यहां तक ​​कि नोडल साइबर सुरक्षा एजेंसी द्वारा नियमित रूप से साझा किए जाने वाले भेद्यता नोटों में भी इन उल्लंघनों का कोई संदर्भ नहीं था।

हालिया डेटा लीक पर, हालांकि आईटी मंत्री ने कहा कि सीईआरटी-इन ने समीक्षा पूरी कर ली है और CoWIN प्रणाली में कोई उल्लंघन नहीं पाया है, साइबर सुरक्षा एजेंसी ने सीधे तौर पर कोई अपडेट नहीं दिया है कि वह या तो जांच कर रही है या उल्लंघन पर समीक्षा दायर की है। . हालांकि, में एक रिपोर्ट द इंडियन एक्सप्रेस कहा कि एजेंसी कम से कम 11 राज्य सरकारों के साथ चर्चा कर रही है जिन्होंने अपने स्वयं के डेटाबेस विकसित किए हैं।

टेलीग्राम बॉट को CoWIN से संबंधित डेटा तक कैसे पहुंचा?

इस डेटा ब्रीच पर गौर करने के कुछ तरीके हैं जिनसे पता चल सकता है कि चीजें कहां गलत हो सकती हैं। AWS, Microsoft के एज़्योर और Google क्लाउड जैसे क्लाउड प्रदाता आमतौर पर केवल अंतर्निहित बुनियादी ढाँचे के लिए सुरक्षा प्रदान करते हैं, न कि अनुप्रयोगों और डेटाबेस को सुरक्षित करने के लिए। अपने डेटा को होस्ट करने वाले ग्राहक क्लाउड वातावरण में जो कुछ भी बनाते हैं, उसके लिए जिम्मेदार होते हैं। पिछले साल सीईआरटी-इन के भेद्यता नोट्स में एडब्ल्यूएस की अनुपस्थिति का मतलब यह हो सकता है कि क्लाउड इंफ्रास्ट्रक्चर के अंत में कोई सुरक्षा चूक नहीं थी।

यह भी पढ़ें | फ्री सॉफ्टवेयर मूवमेंट ऑफ इंडिया ने CoWIN डेटा उल्लंघन की जांच की मांग की

जबकि क्लाउड पारंपरिक डेटा केंद्रों की तुलना में बेहतर सुरक्षा प्रदान करता है, वर्चुअल सर्वर में तैनात लीगेसी सिस्टम श्रृंखला की कमजोर कड़ी हैं। इस तरह के लिंक हैकर्स के लिए एक डेटाबेस में प्रवेश पाने का एक सही मार्ग हैं। यह CoWIN पर ध्यान केंद्रित करता है, जिसे विरासत सॉफ्टवेयर टूल का लाभ उठाने के लिए बनाया गया था। तो, बॉट के पीछे वालों के लिए एक प्रवेश बिंदु एक पुरानी प्रणाली हो सकती है जो पोर्टल से जुड़ी हुई थी।

पिछले डेटा उल्लंघनों में, साइबर सुरक्षा विशेषज्ञों ने क्लाउड में डेटाबेस स्थापित करने में मानवीय त्रुटि या लापरवाही के लिए डेटा लीक को जिम्मेदार ठहराया है। किसी सिस्टम को गलत तरीके से कॉन्फ़िगर करने, या सीमित गोपनीयता सुविधाओं वाले तृतीय-पक्ष ऐप्स की भागीदारी से भी अनधिकृत लोगों के लिए उपयोगकर्ता डेटा उजागर हो सकता था।

बड़ी तस्वीर क्या है?

सीईआरटी-इन जांच के परिणाम जो भी हों, तथ्य यह है कि कोविड-19 टीकाकरण के लिए साइन अप करने वाले लाखों भारतीय नागरिकों का संवेदनशील व्यक्तिगत डेटा साइबर अपराधियों के हाथों में है। यह स्पष्ट नहीं है कि वे इस जानकारी का उपयोग कैसे करने की योजना बना रहे हैं। लेकिन इस तरह के लीक से भारत के अधूरे डेटा सुरक्षा कारोबार का पता चलता है। व्यक्तिगत डेटा के उपयोग और प्रसंस्करण के आसपास जवाबदेही तय करने और सुरक्षा उपायों के निर्माण में डेटा सुरक्षा कानून एक उपयोगी उपकरण हो सकता है।

यह भी पढ़ें | केंद्रीय मंत्री का कहना है कि खतरनाक अभिनेता द्वारा संचालित एक गैर-सरकारी डेटाबेस से CoWIN डेटा लीक हुआ है

2017 में, भारत के सर्वोच्च न्यायालय ने व्यक्तिगत जानकारी की सुरक्षा की आवश्यकता पर प्रकाश डालते हुए गोपनीयता को एक मौलिक अधिकार के रूप में मान्यता दी। लेकिन देश अभी भी व्यक्तिगत डेटा सुरक्षा नीति तैयार करने के लिए संघर्ष कर रहा है।