“आधार अभेद्य नहीं, सूचना के एक बड़े हिस्से की चोरी हो सकती है ! ”

मुंबई: वर्ष 2018 के पहले तीन महीनों में दूसरी बार, आधार कार्यक्रम की कमजोरियों ( दुनिया का सबसे बड़ा बायोमेट्रिक डाटाबेस ) का खुलासा हुआ, जब अमेरिकी व्यापार प्रौद्योगिकी वेबसाइट ZDnet ने 23 मार्च, 2018 को रिपोर्ट किया कि नामांकित किए लाखों भारतीयों का व्यक्तिगत डेटा असुरक्षित वेबसाइटों और तृतीय-पक्ष एजेंसियों के मोबाइल एप्लिकेशन के माध्यम से पहुंचा जा सकता है, जो लेन-देन प्रमाणन के लिए पहचान प्रणाली का उपयोग करते हैं।

आधार में भारतीय निवासियों को दिया गया एक अनूठा 12 अंकों वाला नंबर शामिल है। 29 मार्च, 2018 तक, 1.2 मिलियन से ज्यादा भारतीय ( या आबादी का 99.7 फीसगी ) ने आधार में नामांकन किया है। भारतीय नीति का एक अभिन्न हिस्सा बनने वाला डेटाबेस में प्रत्येक नामांकित व्यक्ति के फिंगरप्रिंट, आईरिस स्कैन और जनसांख्यिकीय विवरण शामिल किया जाता है। 1 जुलाई, 2018 से, प्रणाली में पहचान प्रमाणन उद्देश्यों के लिए चेहरे की पहचान भी शामिल होगी।

फरवरी 2018 के मध्य में एक रात 30 मिनट में, डेटा सुरक्षा विशेषज्ञ करन सैनी, जिनकी "व्हाइट हैट" हैकर के रुप में पहचान है, ( (जो दुर्भावनापूर्ण हैकर्स या "ब्लैक-हैट" हैकर्स के कमजोरियों का पता लगाने और फायदा उठाने से पहले उन्हें उजागर करके सुरक्षा में सुधार करता है ) उन्होंने इंडियन ऑयल, एक सार्वजनिक क्षेत्र की कंपनी की स्वामित्व वाली तरलीकृत पेट्रोलियम गैस (एलपीजी) का एक वाणिज्यिक वितरक इंडेन के जरिए आधार डेटाबेस में कमजोर कड़ी को देखा है। विश्व स्तर पर एलपीजी का दूसरा सबसे बड़ा बिक्रेता पूरे देश में 110 मिलियन परिवारों को सेवा प्रदान करता है।

सरकार द्वारा अभियोजन का सामना करने के डर से सैनी भारतीय विशिष्ट पहचान प्राधिकरण (यूआईडीएआई) में सुरक्षा चूक कार्यक्रम के प्रभारी को सूचित करने के लिए, ZDnet में एक संवाददाता के पास पहुंचे।

इंडेन के माध्यम से, न केवल सैनी ने कई भारतीय निवासियों के आधार संख्या, जनसांख्यिकीय और बायोमेट्रिक आंकड़ों तक पहुंच प्राप्त की, बल्कि यह जानकारी भी हासिल की इन व्यक्तियों के पास कहां-कहां बैंक खाते हैं, और उनके आधार नंबरों के साथ क्या-क्या जुड़ा हुआ है?

इससे पहले, 3 जनवरी, 2018 को चंडीगढ़ के अखबार ‘द ट्रिब्यून’ ने एक जांच में आरोप लगाया था कि एक मिलियन से अधिक आधार संख्या के विवरण के लिए अप्रतिबंधित पहुंच महज 500 रूपए में खरीदी जा सकती है।

2011 में इसकी स्थापना के बाद से, आधार पर कई बहस हुए हैं, विशेषकर गोपनीयता और जानकारी लीक के मुद्दों पर।

आधार के साथ सभी नागरिकों का नामांकन अब अनिवार्य हो गया है। ऐसे में वकीलों और कार्यकर्ताओं, जिन्होंने आधार कानून को चुनौती दी है, को लगता है कि एक गोपनीयता कानून के अभाव में, आधार अगर विभिन्न सेवाओं से जुड़ गया तो लोगों के बारे में यह सरकार को बहुत अधिक जानकारी आसानी से पेश करेगी, इस बारे में मार्च, 2017 में इंडियास्पेंड की रिपोर्ट में विस्तार से बताया गया है।

यूआईडीएआई ने इन आशंकाओं को खारिज कर दिया है और यह सुनिश्चित किया है कि केंद्रीय डेटाबेस सुरक्षित है, और वे इस बात पर जोर दे रहे हैं कि कार्यक्रम ‘भ्रष्टाचार को खत्म करने का गंभीर प्रयास’ है। आधार की संवैधानिक वैधता के लिए तर्क देते हुए, यूआईडीएआई ने मंगलवार, 27 मार्च, 2018 को सुप्रीम कोर्ट (एससी) की सुनवाई के दौरान सैनी की खोज और सिस्टम में सुरक्षा चूक की रिपोर्ट को खारिज कर दिया है।

यूआईडीएआई के मुख्य कार्यकारी अधिकारी अजय भूषण पांडे ने एससी को बताया, "आज तक कोई डाटा लीक नहीं हुआ है।"

इंडिया स्पेंड के साथ एक साक्षात्कार में, नई दिल्ली स्थित फ्रीलांस सूचना-सुरक्षा पेशेवर, सैनी ने आधार में डेटा की सुरक्षा और गोपनीयता की चिंताओं पर चर्चा की है। सैनी, कभी-कभी ‘बग बाउन्टी प्रोग्राम ‘ में भाग लेते हैं जो कंपनियों को सुरक्षा कमजोरियों की पहचान और रिपोर्ट करने में शामिल होते हैं। उन्होंने ट्वीटर, उबर और अमेरिकी रक्षा विभाग के साथ काम किया है।

आप आधार डेटा की सुरक्षा की जांच करने के लिए कैसे प्रेरित हुए और आपको क्या मिला?

मैंने आधार की कमजोरियों को ऐसे ही देखना शुरू किया था। ऐप्पल ऐप स्टोर पर, मुझे 'इंडियन ऑयल' द्वारा एक यह मोबाइल ऐप मिला था, जिसमें दावा किया गया था कि आप ‘इंडेन’ के साथ अपने आधार की स्थिति की जांच कर सकते हैं। मैंने ऐप और एपीआई (एप्लिकेशन प्रोग्राम इंटरफेस) को देखना शुरू कर दिया था, जिसका इस्तेमाल आधार डेटा को प्राप्त करने और पुनः प्राप्त करने के लिए किया जाता था। मैं यह देखना चाहता था कि उसके पास सुरक्षा उपायों की कोई जगह है, और यदि ऐसा है, तो क्या और कैसे कोई उन्हें बायपास कर सकता है? कुछ ही मिनटों में, मैं यह निर्धारित करने में सक्षम था कि अंत में एक बिंदु के लिए डेटा तक पहुंचने के लिए कुछ महत्वपूर्ण प्रतिबाधाएं लगाई जा सकती हैं, क्योंकि यह इस तरह संवेदनशील है।

मैंने पाया कि संभव आधार संख्या के क्रमपरिवर्तन के माध्यम पर चलने से मैं एक-बार-पासवर्ड (ओटीपी) की आवश्यकता के बिना अन्य लोगों के आधार-जुड़े आंकड़े प्राप्त कर सकता हूं। इंडेन एपीआई अनुरोधों को अवरुद्ध नहीं कर रहा था, खासकर जब उनमें से बड़ी संख्या में तेजी से भेजे गए थे। ( मैं 5-10 मिनट में 5000 अनुरोध भेज सकता हूं ) मैंने निष्कर्ष निकाला कि यह एक दुर्भावनापूर्ण पार्टी के लिए पर्याप्त कंप्यूटिंग पावर और समय के साथ आधार-सम्बद्ध डेटा की विशाल मात्रा में सेंध का समय होगा। ऐप, जो Google PlayStore पर भी उपलब्ध था, बाद में हटा दिया गया है।

Link

कागज पर, आधार का इरादा लीक को प्लग करना है और सुनिश्चित करता है कि लाभ सही व्यक्ति तक पहुंच जाए, और सेवा प्रदाताओं के लिए एक-स्टॉप सत्यापन प्रक्रिया भी प्रदान करें। एक तरह से, आज के विश्व में व्यक्तिगत डेटा साझा करना अपरिहार्य है- तो आपको कैसे लगता है कि सरकार को बड़े डेटा और गोपनीयता की जरूरतों के बारे में बातचीत क्यों करनी चाहिए?

हमें आधार के आधारभूत संरचना को देखना होगा- यह सिर्फ सरकार की रक्षा के लिए डेटाबेस नहीं है। पहचान सत्यापन के लिए बैंकों और तीसरे पक्षों का उपयोग करने के साथ, आधार डेटा आंशिक रूप से साझा किया जाता है।लेकिन यह उन पार्टियों के साथ साझा किया जा सकता है जो डेटा सुरक्षा मुद्दों को गंभीरता से नहीं लेते हैं। इन विक्रेताओं और अन्य कंपनियों, जिनके साथ आधार का डेटा शेयर किया जाता है, वे डेटा से जुड़े कड़े मानदंडों का पालन करें, इसके लिए हमें एक अधिक व्यापक प्रणाली की आवश्यकता है । यह सुनिश्चित हो सके कि वे इसे सुरक्षित रखने के लिए आवश्यक कदम उठाए बिना डेटा का उपयोग नहीं कर सकते। अन्यथा, यह सूचना का उल्लंघन होगा जो मूल रूप से सरकार को सद्भावना में प्रदान किया गया था।

क्या आपको लगता है कि आधार कार्यक्रम डेटा सुरक्षा में तीसरे पक्ष की भूमिका को पर्याप्त रूप से स्वीकार करता है?

अब तक, मुझे विश्वास नहीं है कि इन सुरक्षा मुद्दों को सही तरीके से संबोधित किया जा रहा है और आरोप लगाए गए लोगों द्वारा इसका अनुमोदन किया जा रहा है। हालांकि, उन्हें चिंतित होना चाहिए। अभी डेटा प्रोटेक्शन के सख्त उपायों की मांग और लागू नहीं करने में, न तो तीसरा पक्ष और न ही यूआईडीएआई महत्वपूर्ण सुरक्षा मुद्दों और चिंताओं के लिए जिम्मेदारी ले रहे हैं। यह अत्यधिक समस्याग्रस्त है, क्योंकि लाखों की व्यक्तिगत जानकारी दांव पर है

27 मार्च, 2018 को सुप्रीम कोर्ट में, यूआईडीएआई के सीईओ अजय भूषण पांडे ने जोर देकर कहा कि तीसरे पक्षों को छोड़कर, मुख्य डेटाबेस स्वयं अच्छी तरह से सुरक्षित है और अभी तक एक भी उल्लंघन नहीं हुआ है। आपके निष्कर्ष क्या हैं?

ABP says software is secure and there hasn't been one data leak till date. Tells court to not believe media reports. Denies recent report of breach by ZDnet

— sflc.in (@SFLCin) March 27, 2018

ABP rubbishes the report by tribune also. — sflc.in (@SFLCin) March 27, 2018

मैं मानता हूं, मुख्य आधार 'डेटाबेस' के साथ चिंता नहीं जुड़ी है। लेकिन, तीसरे पक्ष के साथ साझाकरण के जरिए डेटा के साथ छेड़छाड़ करने की संभावना है- यह यूआईडीएआई के लिए प्राथमिक चिंता का विषय होना चाहिए। जब आधार अस्तित्व में नहीं था, पहचान का सत्यापन कठिन था। लेकिन एक सेवा कंपनी से साझे की एक सीमा होनी चाहिए। यदि मैं गैस कनेक्शन या टेलीफोन सेवा के लिए साइन अप करता हूं, तो मैं कौन सा बैंक का उपयोग करता हूं इसकी जानकारी तक पहुंच नहीं होनी चाहिए। वास्तव में, सीईओ ने स्वयं बैंकों को लिखा था कि उन्हें आधार प्रमाणन के बारे में और अधिक सावधानी बरतने के जरूरत है, क्योंकि इसके आंकड़ों बैंक खातों की सुरक्षा के लिए खतरा हो सकते हैं।, जैसा कि द हिंदू की रिपोर्ट में बताया गया है। असुरक्षित तृतीय पक्षों के माध्यम से सार्वजनिक रूप से उपलब्ध कराई गई जानकारी के साथ, यूआईडीएआई दुरुपयोग की संभावना को पेश कर रहा है। कोई भी वित्तीय धोखाधड़ी कर सकता है या किसी अन्य के आधार कार्ड को अपना नंबर और जनसांख्यिकीय विवरण का उपयोग करके बना सकता है, क्योंकि आधार संख्या वाले कार्ड के पास अपनी कोई सुरक्षा सुविधा नहीं है -यह संख्या के साथ सिर्फ एक कार्ड है, और कई मामलों में दो-चरण OTPs या फिंगरप्रिंट के साथ सत्यापन प्रक्रिया जगह में नहीं है।

आधार के लिए नामांकन की प्रक्रिया पर, पांडे ने मंगलवार, 27 मार्च, 2018 को मंगलवार को सर्वोच्च न्यायालय से कहा था कि दुरुपयोग का कोई सवाल ही नहीं है, क्योंकि आधार डेटा पर 2048-बिट एन्क्रिप्शन केंद्रीय पहचान डाटा रिपॉझिटरी (सीआईडीआर) को भेज दिया गया है। उन्होंने कहा, " इस एन्क्रिप्शन को तोड़ने के लिए पूरे ब्रह्मांड की ताकत चाहिए।" आपका क्या कहना है?

मैं सीआईडीआर की संवेदनशीलता पर टिप्पणी नहीं कर सकता, क्योंकि मुझे इसके बारे में जानकारी नहीं है, लेकिन फिर से तर्क के लिए, (यद्यपि) यूआईडीएआई अपने डेटा को इस सीमा तक एन्क्रिप्ट कर रहा है, इसने स्पष्ट नहीं किया है कि यदि तृतीय पक्ष प्रमाणीकरण के लिए डेटा तक पहुंच रहे हैं यह भी इसी तरह एन्क्रिप्ट कर रहे हैं। जबकि 2048-बीट एन्क्रिप्शन बहुत अच्छा है, यह केंद्रीय आधार डेटाबेस के प्रकार के डेटा के लिए एक मानक आवश्यकता है। इसके अलावा, हमें स्पष्ट नहीं है कि कितना डेटा एन्क्रिप्ट किया गया है या एन्क्रिप्शन कैसे किया गया है।

मामला आधार तक सीमित नहीं, गोपनीयता उल्लंघनों और सुरक्षा घटनाएं अधिक बार होती हैं और अधिक मात्रा में निजी डेटा को शामिल किया जाता। इन घटनाओं के बारे में यूआईडीएआई का जवाब क्या है?

मैंने फरवरी के शुरू में ‘इंडेन ऐप’ को देखना शुरू कर दिया, और यह देखते हुए कि अतीत में इसी तरह के मामलों का निपटान जिस तरह किया गया है। इंडेन और यूआईडीएआई के साथ इस मामले को लेने के लिए, खुद पर अभियोजन के डर की बजाय एक पत्रकार से संपर्क किया।

ये पिछले कुछ महीनों से पता चला है कि भारत गोपनीयता और डेटा सुरक्षा के बारे में और अधिक गंभीर हो रहा है, और जब ये घटनाएं होती हैं जैसे नागरिकों को जवाबदेही चाहिए।, जब से हम पहले से कहीं ज्यादा और तेजी से डेटा उत्पन्न करते हैं तो लोग अपने डेटा की सुरक्षा के बारे में अधिक चिंतित होने लगे हैं, खासकर जब उल्लंघन सामने आते हैं।

यूआईडीएआई की प्रतिक्रिया के बारे में कहें तो जब हमने इस कहानी से एक महीने पहले उनसे संपर्क किया, उन्हें कमजोर समापन बिंदु के बारे में सूचित किया गया, तो उन्होंने कुछ भी नहीं किया। यह या तो रुचि की कमी के कारण हो सकता था या फिर उन्हें लगा कि समस्या बहुत गंभीर नहीं थी। लेकिन उचित निवारण तकनीक की स्पष्ट आवश्यकता है। यह मेरा इरादा नहीं था मुझे एक सुरक्षा चूक मिल गया जो आधार जानकारी का एक बड़ा हिस्सा चोरी हो जाने की अनुमति दे सकता था, लगभग हर तकनीक के कार्यान्वयन में समस्याएं हैं, इसलिए जाहिर तौर पर आधार के साथ ही साथ भी त्रुटियां भी होंगी। लेकिन अगर भविष्य में, जो जिम्मेदार हैं, वे मुद्दों को अस्वीकार करते हैं और जनता के साथ बातचीत बंद करने की कोशिश करते हैं, तो शोधकर्ता अंततः उनको बग रिपोर्ट करना बंद कर सकते हैं। वे दुर्भावनापूर्ण हमलों के प्रति कमजोर रहेंगे। संचार के चैनल को खुले रखकर आधार डेटा को सुरक्षित रखने में सरकार के अधिक सफल होने की संभावना है।

आधार कार्ड और स्मार्ट कार्ड के बीच अंतर, पांडे ने कहा कि विशिष्टता सुनिश्चित करने और पहचान की चोरी को रोकने में बायोमेट्रिक्स का केंद्रीय डेटाबेस महत्वपूर्ण भूमिका निभाता है। सीओडीआर के साथ निगरानी संभव नहीं है, क्योंकि सिल्लो को विलय नहीं किया गया है लेकिन स्मार्ट कार्ड में, डाटाबेस को मिलाकर यह अभी भी संभव है, उन्होंने कहा है। निगरानी और पहचान की चोरी पर सीईओ के तर्कों पर आप क्या कहते हैं?

ABP: there's no identity theft if Aadhaar is lost. The same cannot be said of smart cards.

Surveillance is not possible with CIDR as silos are not merged. Surveillance is possible by smart cards by merging databases.

— sflc.in (@SFLCin) March 27, 2018

हालांकि आधार का केंद्रीय ‘डेटाबेस’ ऑफलाइन और सुरक्षित हो सकता है, इसके ऑनलाइन डाटा स्टोर, जो काफी बड़े हैं, अभी भी बैंकों और दूरसंचार कंपनियों जैसे तीसरे पक्ष के साथ विलय कर रहे हैं। तो उनके माध्यम से भी निगरानी अभी भी बहुत संभावना हो सकती है

प्रमाणीकरण के एकमात्र उद्देश्य के लिए चेहरे की मान्यता (जहां सहमति दी जाती है ) पूरी तरह से ठीक हो सकती है, लेकिन केवल तब तक जब तक इसका इस्तेमाल केवल उस व्यक्ति के लिए गुप्त निगरानी और ट्रैकिंग के लिए किया जाता है। यदि हमारे अधिकारों की रक्षा के लिए और व्यक्तिगत स्वतंत्रता की गारंटी के लिए कोई कानून नहीं है, जैसे गोपनीयता, तो हमारे समाज और हमारे जीवन के बहुत रास्ते खतरे में डाल दिए जाएंगे। यहां हम एडवर्ड स्नोडेन को उद्धृत कर सकते हैं: "यह तर्क देते हुए कि आप गोपनीयता के अधिकार की परवाह नहीं करते, क्योंकि आपके पास छिपाने के लिए कुछ भी नहीं है, यह कहने से अलग नहीं है कि आपको मुफ्त भाषण की परवाह नहीं है क्योंकि आपके पास कहने को कुछ नहीं है। " सरकारी निगरानी के विचार के विरोध में आपको कुछ भी छिपाने की आवश्यकता नहीं है

यह तर्क दिया गया है कि गोपनीयता एक प्रथम विश्व विशेषाधिकार है। भारत गरीबी और अभाव की समस्याओं से ग्रस्त है और गोपनीयता के मुद्दे ' उच्छिष्टवर्गवादी ' हैं। क्या आप सहमत हैं?

यह सिर्फ एक अमीर आदमी की समस्या नहीं है। डेटा उल्लंघनों के माध्यम से वित्तीय धोखाधड़ी किसी के भी जीवन को प्रभावित कर सकती है। वास्तव में यह मध्यम और श्रमिक वर्ग को सबसे अधिक प्रभावित करेगा, क्योंकि दूसरों की तुलना में से इसे ठीक करना, उनके लिए कठिन होगा।

मेरा मानना ​​है कि इन समस्याओं को प्रकाश में लाने और नागरिकों के रूप में हमारे अधिकारों पर चर्चा करके हम गरीबी और अभाव जैसे मुद्दों से पीछे नहीं हटते हैं। वास्तविकता यह है कि, चाहे उनकी सामाजिक-आर्थिक स्थिति की परवाह किए बिना, अधिक भारतीय अब स्मार्ट फोन और बैंकिंग सेवाओं से जुड़ रहे हैं ( जैसे कि भारतीय सरकार ने अपने डिजिटल समावेशन कार्यक्रम के साथ योजना बनाई थी ) इसलिए जाहिर है, सुरक्षा और गोपनीयता के लिए हमें अधिक संवेदनशील होना होगा, क्योंकि खतरे भी बढ रहे हैं। इसे अब "एलिटिस्ट" समस्या के रूप में बर्खास्त नहीं किया जा सकता है

(सलदानहा सहायक संपादक हैं और इंडियास्पेंड के साथ जुड़ी हैं।)

यह साक्षात्कार मूलत: अंग्रेजी में 30 मार्च 2018 को indiaspend.com पर प्रकाशित हुआ है।

हम फीडबैक का स्वागत करते हैं। हमसे respond@indiaspend.org पर संपर्क किया जा सकता है। हम भाषा और व्याकरण के लिए प्रतिक्रियाओं को संपादित करने का अधिकार रखते हैं।

__________________________________________________________________

"क्या आपको यह लेख पसंद आया ?" Indiaspend.com एक गैर लाभकारी संस्था है, और हम अपने इस जनहित पत्रकारिता प्रयासों की सफलता के लिए आप जैसे पाठकों पर निर्भर करते हैं। कृपया अपना अनुदान दें :