UMANG Portal Update- UMANG पोर्टल की सुरक्षा में ब्लैक होल, लीक हो सकता है Aadhaar डेटा

 
UMANG Portal Update: Security flaw in UMANG portal; Aadhaar data could be leaked.

'यूनिफाइड मोबाइल एप्लीकेशन फॉर न्यू-एज गवर्नेंस' (UMANG) पोर्ट्ल में साइबर सुरक्षा शोधकर्ताओं द्वारा कई कमियां बताई गई हैं, जिसके बाद से इसकी जांच होना शुरु हो गई हैं, इन कमियों से संवेदनशील यूज़र जानकारी के उजागर होने का खतरा हो सकता है। बताई गई कमियों से आधार, EPFO ​​और अन्य सरकारी प्लेटफॉर्म से जुड़ी सेवाओं पर असर पड़ सकता है। सरकार ने इन बातों को स्वीकार किया है और कहा है कि सुधार के उपाय किए जा रहे हैं, आइए जानते हैं पूरी डिटेल्स

UMANG Portal Update: Security flaw in UMANG portal; Aadhaar data could be leaked.

दो साइबर सुरक्षा शोधकर्ताओं, अक्षय सीएस और वायरल वाघेला ने UMANG पोर्टल में कई कमियों की पहचान की।

रिपोर्ट के अनुसार, ये कमियां कई सालों से अलग-अलग UMANG सेवाओं में मौजूद हो सकती हैं।

शोधकर्ताओं का आरोप है कि कई मॉड्यूल का सुरक्षा ढांचा मूल रूप से कमजोर था, जिससे नागरिकों की व्यक्तिगत जानकारी की सुरक्षा को लेकर चिंताएं पैदा हुईं।

सुरक्षा सुधार लागू किए जाने के दौरान दुरुपयोग को रोकने के लिए जानबूझकर तकनीकी विवरण नहीं बताए गए हैं।

कौन सा डेटा खतरे में हो सकता था?

कुछ इंटीग्रेटेड सेवाओं द्वारा स्टोर किए गए आधार नंबर।

EPFO यूनिवर्सल अकाउंट नंबर (UAN) का विवरण।

EPFO सेवाओं से जुड़ी बैंक खाते की जानकारी।

एक बड़ी तेल मार्केटिंग कंपनी से जुड़ी LPG सिलेंडर बुकिंग की जानकारी।

विभिन्न UMANG सेवाओं में स्टोर की गई अन्य यूज़र जानकारी।

रिपोर्ट में यह स्पष्ट किया गया कि UMANG के भीतर आधार सेवा मॉड्यूल में कोई कमी नहीं पाई गई।

संभावित सुरक्षा जोखिम

शोधकर्ताओं के अनुसार, यदि साइबर अपराधियों द्वारा इनका फायदा उठाया जाता, तो इन कमियों से हमलावरों को ये करने की अनुमति मिल सकती थी:

संवेदनशील यूज़र जानकारी तक पहुंचना।

कुछ जुड़ी हुई सेवाओं में प्लेनटेक्स्ट (बिना एन्क्रिप्शन के) में स्टोर किए गए आधार नंबर देखना।

EPFO सेवाओं से जुड़े बैंक खाते के विवरण में बदलाव करना।

अनधिकृत भुगतान अनुरोध शुरू करना।

वित्तीय धोखाधड़ी के लिए EPFO ​​UAN जानकारी का दुरुपयोग करना।

अब तक बड़े पैमाने पर दुरुपयोग का कोई पक्का सबूत सार्वजनिक रूप से सामने नहीं आया है।

UMANG Portal Update: Security flaw in UMANG portal; Aadhaar data could be leaked.

सरकार की प्रतिक्रिया

इलेक्ट्रॉनिक्स और सूचना प्रौद्योगिकी मंत्रालय (MeitY) ने बताई गई समस्याओं को स्वीकार किया और कहा कि:

सुरक्षा और विकास टीमों ने इन बातों की समीक्षा की।

आवश्यक सुधार और अतिरिक्त सुरक्षा उपाय लागू किए जा रहे हैं।

प्रभावित API में प्लेनटेक्स्ट जानकारी को अब एन्क्रिप्ट कर दिया गया है।

पिछले तीन महीनों के API ट्रांज़ैक्शन लॉग की जांच की गई।

समीक्षा अवधि के दौरान ट्रांज़ैक्शन पैटर्न सामान्य दिखे।

किसी भी असामान्य गतिविधि का पता लगाने के लिए UMANG प्लेटफॉर्म की लगातार निगरानी की जा रही है। CERT-In और EPFO ​​की कार्रवाई

कमियों का पता चलने के बाद:

रिसर्चर्स ने MeitY और CERT-In (इंडियन कंप्यूटर इमरजेंसी रिस्पॉन्स टीम) दोनों को इसकी जानकारी दी।

CERT-In पूरे भारत में साइबर सुरक्षा खतरों से निपटने के लिए समन्वय (coordination) करने के लिए जिम्मेदार है।

अलर्ट मिलने के कुछ ही समय बाद, EPFO ​​ने अपने ऑनलाइन माइग्रेशन पोर्टल को कुछ समय के लिए बंद कर दिया।

खबरों के अनुसार, EPFO ​​की कुछ सेवाएं कई दिनों तक उपलब्ध नहीं थीं।

रिसर्चर्स का मानना ​​है कि ये कदम उस सुरक्षा समीक्षा से जुड़े हो सकते हैं जो उनके द्वारा जानकारी देने के बाद शुरू की गई थी।

यह मुद्दा क्यों महत्वपूर्ण है

EPFO मॉड्यूल UMANG की सबसे ज़्यादा इस्तेमाल की जाने वाली सेवाओं में से एक है।

पिछले तीन महीनों में इसमें 400 मिलियन से ज़्यादा ट्रांज़ैक्शन हुए हैं।

अगर इतने बड़े पैमाने पर इस्तेमाल होने वाले प्लेटफ़ॉर्म में सुरक्षा की कोई कमी रह जाती है और उसे ठीक नहीं किया जाता है, तो इससे लाखों यूज़र्स प्रभावित हो सकते हैं।

रिसर्चर्स ने यह भी बताया कि इंटीग्रेटेड सेवाओं में आधार नंबर को 'प्लेनटेक्स्ट' (बिना एन्क्रिप्शन के) में स्टोर करना आधार अधिनियम, 2016 के तहत परिकल्पित गोपनीयता सुरक्षा उपायों के अनुरूप नहीं होगा।

यूज़र्स को क्या करना चाहिए

हालांकि सरकार ने यूज़र्स को कोई आपातकालीन कार्रवाई करने की सलाह नहीं दी है, फिर भी यह सुझाव दिया जाता है कि:

अपने EPFO ​​अकाउंट की गतिविधियों की नियमित रूप से समीक्षा करें।

यह सुनिश्चित करें कि आपके रजिस्टर्ड बैंक अकाउंट की जानकारी में कोई बदलाव न हुआ हो।

सरकारी सेवाओं से जुड़े SMS और ईमेल अलर्ट पर नज़र रखें।

कभी भी किसी के साथ OTP या व्यक्तिगत क्रेडेंशियल (जैसे पासवर्ड आदि) साझा न करें।

किसी भी संदिग्ध गतिविधि की सूचना तुरंत संबंधित सरकारी पोर्टलों के माध्यम से दें।