Aadhaar_620

मुंबई: वर्ष 2018 के पहले तीन महीनों में दूसरी बार, आधार कार्यक्रम की कमजोरियों ( दुनिया का सबसे बड़ा बायोमेट्रिक डाटाबेस ) का खुलासा हुआ, जब अमेरिकी व्यापार प्रौद्योगिकी वेबसाइट ZDnet ने 23 मार्च, 2018 को रिपोर्ट किया कि नामांकित किए लाखों भारतीयों का व्यक्तिगत डेटा असुरक्षित वेबसाइटों और तृतीय-पक्ष एजेंसियों के मोबाइल एप्लिकेशन के माध्यम से पहुंचा जा सकता है, जो लेन-देन प्रमाणन के लिए पहचान प्रणाली का उपयोग करते हैं।

आधार में भारतीय निवासियों को दिया गया एक अनूठा 12 अंकों वाला नंबर शामिल है। 29 मार्च, 2018 तक, 1.2 मिलियन से ज्यादा भारतीय ( या आबादी का 99.7 फीसगी ) ने आधार में नामांकन किया है। भारतीय नीति का एक अभिन्न हिस्सा बनने वाला डेटाबेस में प्रत्येक नामांकित व्यक्ति के फिंगरप्रिंट, आईरिस स्कैन और जनसांख्यिकीय विवरण शामिल किया जाता है। 1 जुलाई, 2018 से, प्रणाली में पहचान प्रमाणन उद्देश्यों के लिए चेहरे की पहचान भी शामिल होगी।

फरवरी 2018 के मध्य में एक रात 30 मिनट में, डेटा सुरक्षा विशेषज्ञ करन सैनी, जिनकी "व्हाइट हैट" हैकर के रुप में पहचान है, ( (जो दुर्भावनापूर्ण हैकर्स या "ब्लैक-हैट" हैकर्स के कमजोरियों का पता लगाने और फायदा उठाने से पहले उन्हें उजागर करके सुरक्षा में सुधार करता है ) उन्होंने इंडियन ऑयल, एक सार्वजनिक क्षेत्र की कंपनी की स्वामित्व वाली तरलीकृत पेट्रोलियम गैस (एलपीजी) का एक वाणिज्यिक वितरक इंडेन के जरिए आधार डेटाबेस में कमजोर कड़ी को देखा है। विश्व स्तर पर एलपीजी का दूसरा सबसे बड़ा बिक्रेता पूरे देश में 110 मिलियन परिवारों को सेवा प्रदान करता है।

सरकार द्वारा अभियोजन का सामना करने के डर से सैनी भारतीय विशिष्ट पहचान प्राधिकरण (यूआईडीएआई) में सुरक्षा चूक कार्यक्रम के प्रभारी को सूचित करने के लिए, ZDnet में एक संवाददाता के पास पहुंचे।

इंडेन के माध्यम से, न केवल सैनी ने कई भारतीय निवासियों के आधार संख्या, जनसांख्यिकीय और बायोमेट्रिक आंकड़ों तक पहुंच प्राप्त की, बल्कि यह जानकारी भी हासिल की इन व्यक्तियों के पास कहां-कहां बैंक खाते हैं, और उनके आधार नंबरों के साथ क्या-क्या जुड़ा हुआ है?

इससे पहले, 3 जनवरी, 2018 को चंडीगढ़ के अखबार ‘द ट्रिब्यून’ ने एक जांच में आरोप लगाया था कि एक मिलियन से अधिक आधार संख्या के विवरण के लिए अप्रतिबंधित पहुंच महज 500 रूपए में खरीदी जा सकती है।

2011 में इसकी स्थापना के बाद से, आधार पर कई बहस हुए हैं, विशेषकर गोपनीयता और जानकारी लीक के मुद्दों पर।

आधार के साथ सभी नागरिकों का नामांकन अब अनिवार्य हो गया है। ऐसे में वकीलों और कार्यकर्ताओं, जिन्होंने आधार कानून को चुनौती दी है, को लगता है कि एक गोपनीयता कानून के अभाव में, आधार अगर विभिन्न सेवाओं से जुड़ गया तो लोगों के बारे में यह सरकार को बहुत अधिक जानकारी आसानी से पेश करेगी, इस बारे में मार्च, 2017 में इंडियास्पेंड की रिपोर्ट में विस्तार से बताया गया है।

यूआईडीएआई ने इन आशंकाओं को खारिज कर दिया है और यह सुनिश्चित किया है कि केंद्रीय डेटाबेस सुरक्षित है, और वे इस बात पर जोर दे रहे हैं कि कार्यक्रम ‘भ्रष्टाचार को खत्म करने का गंभीर प्रयास’ है। आधार की संवैधानिक वैधता के लिए तर्क देते हुए, यूआईडीएआई ने मंगलवार, 27 मार्च, 2018 को सुप्रीम कोर्ट (एससी) की सुनवाई के दौरान सैनी की खोज और सिस्टम में सुरक्षा चूक की रिपोर्ट को खारिज कर दिया है।

यूआईडीएआई के मुख्य कार्यकारी अधिकारी अजय भूषण पांडे ने एससी को बताया, "आज तक कोई डाटा लीक नहीं हुआ है।"

इंडिया स्पेंड के साथ एक साक्षात्कार में, नई दिल्ली स्थित फ्रीलांस सूचना-सुरक्षा पेशेवर, सैनी ने आधार में डेटा की सुरक्षा और गोपनीयता की चिंताओं पर चर्चा की है। सैनी, कभी-कभी ‘बग बाउन्टी प्रोग्राम ‘ में भाग लेते हैं जो कंपनियों को सुरक्षा कमजोरियों की पहचान और रिपोर्ट करने में शामिल होते हैं। उन्होंने ट्वीटर, उबर और अमेरिकी रक्षा विभाग के साथ काम किया है।

आप आधार डेटा की सुरक्षा की जांच करने के लिए कैसे प्रेरित हुए और आपको क्या मिला?

मैंने आधार की कमजोरियों को ऐसे ही देखना शुरू किया था। ऐप्पल ऐप स्टोर पर, मुझे 'इंडियन ऑयल' द्वारा एक यह मोबाइल ऐप मिला था, जिसमें दावा किया गया था कि आप ‘इंडेन’ के साथ अपने आधार की स्थिति की जांच कर सकते हैं। मैंने ऐप और एपीआई (एप्लिकेशन प्रोग्राम इंटरफेस) को देखना शुरू कर दिया था, जिसका इस्तेमाल आधार डेटा को प्राप्त करने और पुनः प्राप्त करने के लिए किया जाता था। मैं यह देखना चाहता था कि उसके पास सुरक्षा उपायों की कोई जगह है, और यदि ऐसा है, तो क्या और कैसे कोई उन्हें बायपास कर सकता है? कुछ ही मिनटों में, मैं यह निर्धारित करने में सक्षम था कि अंत में एक बिंदु के लिए डेटा तक पहुंचने के लिए कुछ महत्वपूर्ण प्रतिबाधाएं लगाई जा सकती हैं, क्योंकि यह इस तरह संवेदनशील है।

मैंने पाया कि संभव आधार संख्या के क्रमपरिवर्तन के माध्यम पर चलने से मैं एक-बार-पासवर्ड (ओटीपी) की आवश्यकता के बिना अन्य लोगों के आधार-जुड़े आंकड़े प्राप्त कर सकता हूं। इंडेन एपीआई अनुरोधों को अवरुद्ध नहीं कर रहा था, खासकर जब उनमें से बड़ी संख्या में तेजी से भेजे गए थे। ( मैं 5-10 मिनट में 5000 अनुरोध भेज सकता हूं ) मैंने निष्कर्ष निकाला कि यह एक दुर्भावनापूर्ण पार्टी के लिए पर्याप्त कंप्यूटिंग पावर और समय के साथ आधार-सम्बद्ध डेटा की विशाल मात्रा में सेंध का समय होगा। ऐप, जो Google PlayStore पर भी उपलब्ध था, बाद में हटा दिया गया है।

Screen Shot 2018-03-29 at 9.11.46 pm_620

Link

कागज पर, आधार का इरादा लीक को प्लग करना है और सुनिश्चित करता है कि लाभ सही व्यक्ति तक पहुंच जाए, और सेवा प्रदाताओं के लिए एक-स्टॉप सत्यापन प्रक्रिया भी प्रदान करें। एक तरह से, आज के विश्व में व्यक्तिगत डेटा साझा करना अपरिहार्य है- तो आपको कैसे लगता है कि सरकार को बड़े डेटा और गोपनीयता की जरूरतों के बारे में बातचीत क्यों करनी चाहिए?

हमें आधार के आधारभूत संरचना को देखना होगा- यह सिर्फ सरकार की रक्षा के लिए डेटाबेस नहीं है। पहचान सत्यापन के लिए बैंकों और तीसरे पक्षों का उपयोग करने के साथ, आधार डेटा आंशिक रूप से साझा किया जाता है।लेकिन यह उन पार्टियों के साथ साझा किया जा सकता है जो डेटा सुरक्षा मुद्दों को गंभीरता से नहीं लेते हैं। इन विक्रेताओं और अन्य कंपनियों, जिनके साथ आधार का डेटा शेयर किया जाता है, वे डेटा से जुड़े कड़े मानदंडों का पालन करें, इसके लिए हमें एक अधिक व्यापक प्रणाली की आवश्यकता है । यह सुनिश्चित हो सके कि वे इसे सुरक्षित रखने के लिए आवश्यक कदम उठाए बिना डेटा का उपयोग नहीं कर सकते। अन्यथा, यह सूचना का उल्लंघन होगा जो मूल रूप से सरकार को सद्भावना में प्रदान किया गया था।

क्या आपको लगता है कि आधार कार्यक्रम डेटा सुरक्षा में तीसरे पक्ष की भूमिका को पर्याप्त रूप से स्वीकार करता है?

अब तक, मुझे विश्वास नहीं है कि इन सुरक्षा मुद्दों को सही तरीके से संबोधित किया जा रहा है और आरोप लगाए गए लोगों द्वारा इसका अनुमोदन किया जा रहा है। हालांकि, उन्हें चिंतित होना चाहिए। अभी डेटा प्रोटेक्शन के सख्त उपायों की मांग और लागू नहीं करने में, न तो तीसरा पक्ष और न ही यूआईडीएआई महत्वपूर्ण सुरक्षा मुद्दों और चिंताओं के लिए जिम्मेदारी ले रहे हैं। यह अत्यधिक समस्याग्रस्त है, क्योंकि लाखों की व्यक्तिगत जानकारी दांव पर है

27 मार्च, 2018 को सुप्रीम कोर्ट में, यूआईडीएआई के सीईओ अजय भूषण पांडे ने जोर देकर कहा कि तीसरे पक्षों को छोड़कर, मुख्य डेटाबेस स्वयं अच्छी तरह से सुरक्षित है और अभी तक एक भी उल्लंघन नहीं हुआ है। आपके निष्कर्ष क्या हैं?

मैं मानता हूं, मुख्य आधार 'डेटाबेस' के साथ चिंता नहीं जुड़ी है। लेकिन, तीसरे पक्ष के साथ साझाकरण के जरिए डेटा के साथ छेड़छाड़ करने की संभावना है- यह यूआईडीएआई के लिए प्राथमिक चिंता का विषय होना चाहिए। जब आधार अस्तित्व में नहीं था, पहचान का सत्यापन कठिन था। लेकिन एक सेवा कंपनी से साझे की एक सीमा होनी चाहिए। यदि मैं गैस कनेक्शन या टेलीफोन सेवा के लिए साइन अप करता हूं, तो मैं कौन सा बैंक का उपयोग करता हूं इसकी जानकारी तक पहुंच नहीं होनी चाहिए। वास्तव में, सीईओ ने स्वयं बैंकों को लिखा था कि उन्हें आधार प्रमाणन के बारे में और अधिक सावधानी बरतने के जरूरत है, क्योंकि इसके आंकड़ों बैंक खातों की सुरक्षा के लिए खतरा हो सकते हैं।, जैसा कि द हिंदू की रिपोर्ट में बताया गया है। असुरक्षित तृतीय पक्षों के माध्यम से सार्वजनिक रूप से उपलब्ध कराई गई जानकारी के साथ, यूआईडीएआई दुरुपयोग की संभावना को पेश कर रहा है। कोई भी वित्तीय धोखाधड़ी कर सकता है या किसी अन्य के आधार कार्ड को अपना नंबर और जनसांख्यिकीय विवरण का उपयोग करके बना सकता है, क्योंकि आधार संख्या वाले कार्ड के पास अपनी कोई सुरक्षा सुविधा नहीं है -यह संख्या के साथ सिर्फ एक कार्ड है, और कई मामलों में दो-चरण OTPs या फिंगरप्रिंट के साथ सत्यापन प्रक्रिया जगह में नहीं है।

आधार के लिए नामांकन की प्रक्रिया पर, पांडे ने मंगलवार, 27 मार्च, 2018 को मंगलवार को सर्वोच्च न्यायालय से कहा था कि दुरुपयोग का कोई सवाल ही नहीं है, क्योंकि आधार डेटा पर 2048-बिट एन्क्रिप्शन केंद्रीय पहचान डाटा रिपॉझिटरी (सीआईडीआर) को भेज दिया गया है। उन्होंने कहा, " इस एन्क्रिप्शन को तोड़ने के लिए पूरे ब्रह्मांड की ताकत चाहिए।" आपका क्या कहना है?

मैं सीआईडीआर की संवेदनशीलता पर टिप्पणी नहीं कर सकता, क्योंकि मुझे इसके बारे में जानकारी नहीं है, लेकिन फिर से तर्क के लिए, (यद्यपि) यूआईडीएआई अपने डेटा को इस सीमा तक एन्क्रिप्ट कर रहा है, इसने स्पष्ट नहीं किया है कि यदि तृतीय पक्ष प्रमाणीकरण के लिए डेटा तक पहुंच रहे हैं यह भी इसी तरह एन्क्रिप्ट कर रहे हैं। जबकि 2048-बीट एन्क्रिप्शन बहुत अच्छा है, यह केंद्रीय आधार डेटाबेस के प्रकार के डेटा के लिए एक मानक आवश्यकता है। इसके अलावा, हमें स्पष्ट नहीं है कि कितना डेटा एन्क्रिप्ट किया गया है या एन्क्रिप्शन कैसे किया गया है।

मामला आधार तक सीमित नहीं, गोपनीयता उल्लंघनों और सुरक्षा घटनाएं अधिक बार होती हैं और अधिक मात्रा में निजी डेटा को शामिल किया जाता। इन घटनाओं के बारे में यूआईडीएआई का जवाब क्या है?

मैंने फरवरी के शुरू में ‘इंडेन ऐप’ को देखना शुरू कर दिया, और यह देखते हुए कि अतीत में इसी तरह के मामलों का निपटान जिस तरह किया गया है। इंडेन और यूआईडीएआई के साथ इस मामले को लेने के लिए, खुद पर अभियोजन के डर की बजाय एक पत्रकार से संपर्क किया।

ये पिछले कुछ महीनों से पता चला है कि भारत गोपनीयता और डेटा सुरक्षा के बारे में और अधिक गंभीर हो रहा है, और जब ये घटनाएं होती हैं जैसे नागरिकों को जवाबदेही चाहिए।, जब से हम पहले से कहीं ज्यादा और तेजी से डेटा उत्पन्न करते हैं तो लोग अपने डेटा की सुरक्षा के बारे में अधिक चिंतित होने लगे हैं, खासकर जब उल्लंघन सामने आते हैं।

यूआईडीएआई की प्रतिक्रिया के बारे में कहें तो जब हमने इस कहानी से एक महीने पहले उनसे संपर्क किया, उन्हें कमजोर समापन बिंदु के बारे में सूचित किया गया, तो उन्होंने कुछ भी नहीं किया। यह या तो रुचि की कमी के कारण हो सकता था या फिर उन्हें लगा कि समस्या बहुत गंभीर नहीं थी। लेकिन उचित निवारण तकनीक की स्पष्ट आवश्यकता है। यह मेरा इरादा नहीं था मुझे एक सुरक्षा चूक मिल गया जो आधार जानकारी का एक बड़ा हिस्सा चोरी हो जाने की अनुमति दे सकता था, लगभग हर तकनीक के कार्यान्वयन में समस्याएं हैं, इसलिए जाहिर तौर पर आधार के साथ ही साथ भी त्रुटियां भी होंगी। लेकिन अगर भविष्य में, जो जिम्मेदार हैं, वे मुद्दों को अस्वीकार करते हैं और जनता के साथ बातचीत बंद करने की कोशिश करते हैं, तो शोधकर्ता अंततः उनको बग रिपोर्ट करना बंद कर सकते हैं। वे दुर्भावनापूर्ण हमलों के प्रति कमजोर रहेंगे। संचार के चैनल को खुले रखकर आधार डेटा को सुरक्षित रखने में सरकार के अधिक सफल होने की संभावना है।

आधार कार्ड और स्मार्ट कार्ड के बीच अंतर, पांडे ने कहा कि विशिष्टता सुनिश्चित करने और पहचान की चोरी को रोकने में बायोमेट्रिक्स का केंद्रीय डेटाबेस महत्वपूर्ण भूमिका निभाता है। सीओडीआर के साथ निगरानी संभव नहीं है, क्योंकि सिल्लो को विलय नहीं किया गया है लेकिन स्मार्ट कार्ड में, डाटाबेस को मिलाकर यह अभी भी संभव है, उन्होंने कहा है। निगरानी और पहचान की चोरी पर सीईओ के तर्कों पर आप क्या कहते हैं?

हालांकि आधार का केंद्रीय ‘डेटाबेस’ ऑफलाइन और सुरक्षित हो सकता है, इसके ऑनलाइन डाटा स्टोर, जो काफी बड़े हैं, अभी भी बैंकों और दूरसंचार कंपनियों जैसे तीसरे पक्ष के साथ विलय कर रहे हैं। तो उनके माध्यम से भी निगरानी अभी भी बहुत संभावना हो सकती है

प्रमाणीकरण के एकमात्र उद्देश्य के लिए चेहरे की मान्यता (जहां सहमति दी जाती है ) पूरी तरह से ठीक हो सकती है, लेकिन केवल तब तक जब तक इसका इस्तेमाल केवल उस व्यक्ति के लिए गुप्त निगरानी और ट्रैकिंग के लिए किया जाता है। यदि हमारे अधिकारों की रक्षा के लिए और व्यक्तिगत स्वतंत्रता की गारंटी के लिए कोई कानून नहीं है, जैसे गोपनीयता, तो हमारे समाज और हमारे जीवन के बहुत रास्ते खतरे में डाल दिए जाएंगे। यहां हम एडवर्ड स्नोडेन को उद्धृत कर सकते हैं: "यह तर्क देते हुए कि आप गोपनीयता के अधिकार की परवाह नहीं करते, क्योंकि आपके पास छिपाने के लिए कुछ भी नहीं है, यह कहने से अलग नहीं है कि आपको मुफ्त भाषण की परवाह नहीं है क्योंकि आपके पास कहने को कुछ नहीं है। " सरकारी निगरानी के विचार के विरोध में आपको कुछ भी छिपाने की आवश्यकता नहीं है

यह तर्क दिया गया है कि गोपनीयता एक प्रथम विश्व विशेषाधिकार है। भारत गरीबी और अभाव की समस्याओं से ग्रस्त है और गोपनीयता के मुद्दे ' उच्छिष्टवर्गवादी ' हैं। क्या आप सहमत हैं?

यह सिर्फ एक अमीर आदमी की समस्या नहीं है। डेटा उल्लंघनों के माध्यम से वित्तीय धोखाधड़ी किसी के भी जीवन को प्रभावित कर सकती है। वास्तव में यह मध्यम और श्रमिक वर्ग को सबसे अधिक प्रभावित करेगा, क्योंकि दूसरों की तुलना में से इसे ठीक करना, उनके लिए कठिन होगा।

मेरा मानना ​​है कि इन समस्याओं को प्रकाश में लाने और नागरिकों के रूप में हमारे अधिकारों पर चर्चा करके हम गरीबी और अभाव जैसे मुद्दों से पीछे नहीं हटते हैं। वास्तविकता यह है कि, चाहे उनकी सामाजिक-आर्थिक स्थिति की परवाह किए बिना, अधिक भारतीय अब स्मार्ट फोन और बैंकिंग सेवाओं से जुड़ रहे हैं ( जैसे कि भारतीय सरकार ने अपने डिजिटल समावेशन कार्यक्रम के साथ योजना बनाई थी ) इसलिए जाहिर है, सुरक्षा और गोपनीयता के लिए हमें अधिक संवेदनशील होना होगा, क्योंकि खतरे भी बढ रहे हैं। इसे अब "एलिटिस्ट" समस्या के रूप में बर्खास्त नहीं किया जा सकता है

(सलदानहा सहायक संपादक हैं और इंडियास्पेंड के साथ जुड़ी हैं।)

यह साक्षात्कार मूलत: अंग्रेजी में 30 मार्च 2018 को indiaspend.com पर प्रकाशित हुआ है।

हम फीडबैक का स्वागत करते हैं। हमसे respond@indiaspend.org पर संपर्क किया जा सकता है। हम भाषा और व्याकरण के लिए प्रतिक्रियाओं को संपादित करने का अधिकार रखते हैं।

__________________________________________________________________

"क्या आपको यह लेख पसंद आया ?" Indiaspend.com एक गैर लाभकारी संस्था है, और हम अपने इस जनहित पत्रकारिता प्रयासों की सफलता के लिए आप जैसे पाठकों पर निर्भर करते हैं। कृपया अपना अनुदान दें :