Home » Cover Story » “आधार अभेद्य नहीं, सूचना के एक बड़े हिस्से की चोरी हो सकती है ! ”

“आधार अभेद्य नहीं, सूचना के एक बड़े हिस्से की चोरी हो सकती है ! ”

एलिसन सलदानहा,

Aadhaar_620

 

मुंबई: वर्ष 2018 के पहले तीन महीनों में दूसरी बार, आधार कार्यक्रम की कमजोरियों ( दुनिया का सबसे बड़ा बायोमेट्रिक डाटाबेस ) का खुलासा हुआ, जब अमेरिकी व्यापार प्रौद्योगिकी वेबसाइट ZDnet ने 23 मार्च, 2018 को रिपोर्ट किया कि नामांकित किए लाखों भारतीयों का व्यक्तिगत डेटा असुरक्षित वेबसाइटों और तृतीय-पक्ष एजेंसियों के मोबाइल एप्लिकेशन के माध्यम से पहुंचा जा सकता है, जो लेन-देन प्रमाणन के लिए पहचान प्रणाली का उपयोग करते हैं।

 

आधार में भारतीय निवासियों को दिया गया एक अनूठा 12 अंकों वाला नंबर शामिल है। 29 मार्च, 2018 तक, 1.2 मिलियन से ज्यादा भारतीय ( या आबादी का 99.7 फीसगी ) ने आधार में नामांकन किया है। भारतीय नीति का एक अभिन्न हिस्सा बनने वाला डेटाबेस में प्रत्येक नामांकित व्यक्ति के फिंगरप्रिंट, आईरिस स्कैन और जनसांख्यिकीय विवरण शामिल किया जाता है। 1 जुलाई, 2018 से, प्रणाली में पहचान प्रमाणन उद्देश्यों के लिए चेहरे की पहचान भी शामिल होगी।

 

फरवरी 2018 के मध्य में एक रात 30 मिनट में, डेटा सुरक्षा विशेषज्ञ करन सैनी, जिनकी “व्हाइट हैट” हैकर के रुप में पहचान है, ( (जो दुर्भावनापूर्ण हैकर्स या “ब्लैक-हैट” हैकर्स के कमजोरियों का पता लगाने और फायदा उठाने से पहले उन्हें उजागर करके सुरक्षा में सुधार करता है ) उन्होंने इंडियन ऑयल, एक सार्वजनिक क्षेत्र की कंपनी की स्वामित्व वाली तरलीकृत पेट्रोलियम गैस (एलपीजी) का एक वाणिज्यिक वितरक इंडेन के जरिए आधार डेटाबेस में कमजोर कड़ी को देखा है। विश्व स्तर पर एलपीजी का दूसरा सबसे बड़ा बिक्रेता पूरे देश में 110 मिलियन परिवारों को सेवा प्रदान करता है।

 

सरकार द्वारा अभियोजन का सामना करने के डर से सैनी  भारतीय विशिष्ट पहचान प्राधिकरण (यूआईडीएआई) में सुरक्षा चूक कार्यक्रम के प्रभारी को सूचित करने के लिए, ZDnet में एक संवाददाता के पास पहुंचे।

 

इंडेन के माध्यम से, न केवल सैनी ने कई भारतीय निवासियों के आधार संख्या, जनसांख्यिकीय और बायोमेट्रिक आंकड़ों तक पहुंच प्राप्त की, बल्कि यह जानकारी भी हासिल की इन व्यक्तियों के पास कहां-कहां बैंक खाते हैं, और उनके आधार नंबरों के साथ क्या-क्या जुड़ा हुआ है?

 

इससे पहले, 3 जनवरी, 2018 को चंडीगढ़ के अखबार ‘द ट्रिब्यून’ ने एक जांच में आरोप लगाया था कि एक मिलियन से अधिक आधार संख्या के विवरण के लिए अप्रतिबंधित पहुंच महज 500 रूपए में खरीदी जा सकती है।

 

2011 में इसकी स्थापना के बाद से, आधार पर कई बहस हुए हैं, विशेषकर गोपनीयता और जानकारी लीक के मुद्दों पर।

 

आधार के साथ सभी नागरिकों का नामांकन अब अनिवार्य हो गया है। ऐसे में वकीलों और कार्यकर्ताओं, जिन्होंने आधार कानून को चुनौती दी है, को लगता है कि एक गोपनीयता कानून के अभाव में, आधार अगर विभिन्न सेवाओं से जुड़ गया तो लोगों के बारे में यह सरकार को बहुत अधिक जानकारी आसानी से पेश करेगी, इस बारे में मार्च, 2017 में इंडियास्पेंड की रिपोर्ट में विस्तार से बताया गया है।

 

यूआईडीएआई ने इन आशंकाओं को खारिज कर दिया है और  यह सुनिश्चित किया है कि केंद्रीय डेटाबेस सुरक्षित है,  और वे इस बात पर जोर दे रहे हैं कि कार्यक्रम ‘भ्रष्टाचार को खत्म करने का गंभीर प्रयास’ है। आधार की संवैधानिक वैधता के लिए तर्क देते हुए, यूआईडीएआई ने मंगलवार, 27 मार्च, 2018 को सुप्रीम कोर्ट (एससी) की सुनवाई के दौरान सैनी की खोज और सिस्टम में सुरक्षा चूक की रिपोर्ट को खारिज कर दिया है। 

 

यूआईडीएआई के मुख्य कार्यकारी अधिकारी अजय भूषण पांडे ने एससी को बताया, “आज तक कोई डाटा लीक नहीं हुआ है।”

 

इंडिया स्पेंड के साथ एक साक्षात्कार में, नई दिल्ली स्थित फ्रीलांस सूचना-सुरक्षा पेशेवर, सैनी ने आधार में डेटा की सुरक्षा और गोपनीयता की चिंताओं पर चर्चा की है। सैनी, कभी-कभी ‘बग बाउन्टी प्रोग्राम ‘ में भाग लेते हैं जो कंपनियों को सुरक्षा कमजोरियों की पहचान और रिपोर्ट करने में शामिल होते हैं। उन्होंने ट्वीटर, उबर और अमेरिकी रक्षा विभाग के साथ काम किया है।

 

आप आधार डेटा की सुरक्षा की जांच करने के लिए कैसे प्रेरित हुए और आपको क्या मिला?

 

मैंने आधार की कमजोरियों को ऐसे ही देखना शुरू किया था। ऐप्पल ऐप स्टोर पर, मुझे ‘इंडियन ऑयल’ द्वारा एक यह मोबाइल ऐप मिला था, जिसमें दावा किया गया था कि आप ‘इंडेन’ के साथ अपने आधार की स्थिति की जांच कर सकते हैं। मैंने ऐप और एपीआई (एप्लिकेशन प्रोग्राम इंटरफेस) को देखना शुरू कर दिया था, जिसका इस्तेमाल आधार डेटा को प्राप्त करने और पुनः प्राप्त करने के लिए किया जाता था। मैं यह देखना चाहता था कि उसके पास सुरक्षा उपायों की कोई जगह है, और यदि ऐसा है, तो क्या और कैसे कोई उन्हें बायपास कर सकता है? कुछ ही मिनटों में, मैं यह निर्धारित करने में सक्षम था कि अंत में एक बिंदु के लिए डेटा तक पहुंचने के लिए कुछ महत्वपूर्ण प्रतिबाधाएं लगाई जा सकती हैं, क्योंकि यह इस तरह संवेदनशील है।

 

मैंने पाया कि संभव आधार संख्या के क्रमपरिवर्तन के माध्यम पर चलने से मैं एक-बार-पासवर्ड (ओटीपी) की आवश्यकता के बिना अन्य लोगों के आधार-जुड़े आंकड़े प्राप्त कर सकता हूं। इंडेन एपीआई अनुरोधों को अवरुद्ध नहीं कर रहा था, खासकर जब उनमें से बड़ी संख्या में तेजी से भेजे गए थे। ( मैं 5-10 मिनट में 5000 अनुरोध भेज सकता हूं ) मैंने निष्कर्ष निकाला कि यह एक दुर्भावनापूर्ण पार्टी के लिए पर्याप्त कंप्यूटिंग पावर और समय के साथ आधार-सम्बद्ध डेटा की विशाल मात्रा में सेंध का समय होगा। ऐप, जो Google PlayStore पर भी उपलब्ध था, बाद में हटा दिया गया है।

Screen Shot 2018-03-29 at 9.11.46 pm_620

Link

 

कागज पर, आधार का इरादा लीक को प्लग करना है और सुनिश्चित करता है कि लाभ सही व्यक्ति तक पहुंच जाए, और सेवा प्रदाताओं के लिए एक-स्टॉप सत्यापन प्रक्रिया भी प्रदान करें। एक तरह से, आज के विश्व में व्यक्तिगत डेटा साझा करना अपरिहार्य है- तो आपको कैसे लगता है कि सरकार को बड़े डेटा और गोपनीयता की जरूरतों के बारे में बातचीत क्यों करनी चाहिए?

 

हमें आधार के आधारभूत संरचना को देखना होगा- यह सिर्फ सरकार की रक्षा के लिए डेटाबेस नहीं है। पहचान सत्यापन के लिए बैंकों और तीसरे पक्षों का उपयोग करने के साथ, आधार डेटा आंशिक रूप से साझा किया जाता है।लेकिन यह उन पार्टियों के साथ साझा किया जा सकता है जो डेटा सुरक्षा मुद्दों को गंभीरता से नहीं लेते हैं। इन विक्रेताओं और अन्य कंपनियों, जिनके साथ आधार का डेटा शेयर किया जाता है, वे डेटा से जुड़े कड़े मानदंडों का पालन करें, इसके लिए हमें एक अधिक व्यापक प्रणाली की आवश्यकता है । यह सुनिश्चित हो सके कि वे इसे सुरक्षित रखने के लिए आवश्यक कदम उठाए बिना डेटा का उपयोग नहीं कर सकते। अन्यथा, यह सूचना का उल्लंघन होगा जो मूल रूप से सरकार को सद्भावना में प्रदान किया गया था।

 

क्या आपको लगता है कि आधार कार्यक्रम डेटा सुरक्षा में तीसरे पक्ष की भूमिका को पर्याप्त रूप से स्वीकार करता है?

 

अब तक, मुझे विश्वास नहीं है कि इन सुरक्षा मुद्दों को सही तरीके से संबोधित किया जा रहा है और आरोप लगाए गए लोगों द्वारा इसका अनुमोदन किया जा रहा है। हालांकि, उन्हें चिंतित होना चाहिए। अभी डेटा प्रोटेक्शन के सख्त उपायों की मांग और लागू नहीं करने में, न तो तीसरा पक्ष और न ही यूआईडीएआई महत्वपूर्ण सुरक्षा मुद्दों और चिंताओं के लिए जिम्मेदारी ले रहे हैं। यह अत्यधिक समस्याग्रस्त है, क्योंकि लाखों की व्यक्तिगत जानकारी दांव पर है

 

27 मार्च, 2018 को सुप्रीम कोर्ट में, यूआईडीएआई के सीईओ अजय भूषण पांडे ने जोर देकर कहा कि तीसरे पक्षों को छोड़कर, मुख्य डेटाबेस स्वयं अच्छी तरह से सुरक्षित है और अभी तक एक भी उल्लंघन नहीं हुआ है। आपके निष्कर्ष क्या हैं?

 

 

मैं मानता हूं, मुख्य आधार ‘डेटाबेस’ के साथ चिंता नहीं जुड़ी है। लेकिन, तीसरे पक्ष के साथ साझाकरण के जरिए डेटा के साथ छेड़छाड़ करने की संभावना है- यह यूआईडीएआई के लिए प्राथमिक चिंता का विषय होना चाहिए। जब आधार अस्तित्व में नहीं था, पहचान का सत्यापन कठिन था। लेकिन  एक सेवा कंपनी से साझे की एक सीमा होनी चाहिए। यदि मैं गैस कनेक्शन या टेलीफोन सेवा के लिए साइन अप करता हूं, तो मैं कौन सा बैंक का उपयोग करता हूं इसकी जानकारी तक पहुंच नहीं होनी चाहिए। वास्तव में, सीईओ ने स्वयं बैंकों को लिखा था कि उन्हें आधार प्रमाणन के बारे में और अधिक सावधानी बरतने के जरूरत है, क्योंकि इसके आंकड़ों बैंक खातों की सुरक्षा के लिए खतरा हो सकते हैं।, जैसा कि द हिंदू की रिपोर्ट में बताया गया है। असुरक्षित तृतीय पक्षों के माध्यम से सार्वजनिक रूप से उपलब्ध कराई गई जानकारी के साथ, यूआईडीएआई दुरुपयोग की संभावना को पेश कर रहा है। कोई भी वित्तीय धोखाधड़ी कर सकता है या किसी अन्य के आधार कार्ड को अपना नंबर और जनसांख्यिकीय विवरण का उपयोग करके बना सकता है, क्योंकि आधार संख्या वाले कार्ड के पास अपनी कोई सुरक्षा सुविधा नहीं है -यह संख्या के साथ सिर्फ एक कार्ड है, और कई मामलों में दो-चरण OTPs या फिंगरप्रिंट के साथ सत्यापन प्रक्रिया जगह में नहीं है।

 

आधार के लिए नामांकन की प्रक्रिया पर, पांडे ने मंगलवार, 27 मार्च, 2018 को मंगलवार को सर्वोच्च न्यायालय से कहा था कि दुरुपयोग का कोई सवाल ही नहीं है, क्योंकि आधार डेटा पर 2048-बिट एन्क्रिप्शन केंद्रीय पहचान डाटा रिपॉझिटरी (सीआईडीआर) को भेज दिया गया है। उन्होंने कहा, ” इस एन्क्रिप्शन को तोड़ने के लिए पूरे ब्रह्मांड की ताकत चाहिए।” आपका क्या कहना है?

 

मैं सीआईडीआर की संवेदनशीलता पर टिप्पणी नहीं कर सकता, क्योंकि मुझे इसके बारे में जानकारी नहीं है, लेकिन फिर से तर्क के लिए, (यद्यपि) यूआईडीएआई अपने डेटा को इस सीमा तक एन्क्रिप्ट कर रहा है, इसने स्पष्ट नहीं किया है कि यदि तृतीय पक्ष प्रमाणीकरण के लिए डेटा तक पहुंच रहे हैं यह भी इसी तरह एन्क्रिप्ट कर रहे हैं। जबकि 2048-बीट एन्क्रिप्शन बहुत अच्छा है, यह केंद्रीय आधार डेटाबेस के प्रकार के डेटा के लिए एक मानक आवश्यकता है। इसके अलावा, हमें स्पष्ट नहीं है कि कितना डेटा एन्क्रिप्ट किया गया है या एन्क्रिप्शन कैसे किया गया है।

 

मामला आधार तक सीमित नहीं, गोपनीयता उल्लंघनों और सुरक्षा घटनाएं अधिक बार होती हैं और अधिक मात्रा में निजी डेटा को शामिल किया जाता। इन घटनाओं के बारे में यूआईडीएआई का जवाब क्या है?

 

मैंने फरवरी के शुरू में ‘इंडेन ऐप’ को देखना शुरू कर दिया, और यह देखते हुए कि अतीत में इसी तरह के मामलों का निपटान जिस तरह किया गया है। इंडेन और यूआईडीएआई के साथ इस मामले को लेने के लिए, खुद पर अभियोजन के डर की बजाय एक पत्रकार से संपर्क किया।

 

ये पिछले कुछ महीनों से पता चला है कि भारत गोपनीयता और डेटा सुरक्षा के बारे में और अधिक गंभीर हो रहा है, और जब ये घटनाएं होती हैं जैसे नागरिकों को जवाबदेही चाहिए।, जब से हम पहले से कहीं ज्यादा और तेजी से डेटा उत्पन्न करते हैं तो लोग अपने डेटा की सुरक्षा के बारे में अधिक चिंतित होने लगे हैं, खासकर जब उल्लंघन सामने आते हैं।

 

यूआईडीएआई की प्रतिक्रिया के बारे में कहें तो जब हमने इस कहानी से एक महीने पहले उनसे संपर्क किया, उन्हें कमजोर समापन बिंदु के बारे में सूचित किया गया, तो उन्होंने कुछ भी नहीं किया। यह या तो रुचि की कमी के कारण हो सकता था या फिर उन्हें लगा कि समस्या बहुत गंभीर नहीं थी। लेकिन उचित निवारण तकनीक की स्पष्ट आवश्यकता है। यह मेरा इरादा नहीं था मुझे एक सुरक्षा चूक मिल गया जो आधार जानकारी का एक बड़ा हिस्सा चोरी हो जाने की अनुमति दे सकता था, लगभग हर तकनीक के कार्यान्वयन में समस्याएं हैं, इसलिए जाहिर तौर पर आधार के साथ ही साथ भी त्रुटियां भी होंगी। लेकिन अगर भविष्य में, जो जिम्मेदार हैं, वे मुद्दों को अस्वीकार करते हैं और जनता के साथ बातचीत बंद करने की कोशिश करते हैं, तो शोधकर्ता अंततः उनको बग रिपोर्ट करना बंद कर सकते हैं। वे दुर्भावनापूर्ण हमलों के प्रति कमजोर रहेंगे। संचार के चैनल को खुले रखकर आधार डेटा को सुरक्षित रखने में सरकार के अधिक सफल होने की संभावना है।

 

आधार कार्ड और स्मार्ट कार्ड के बीच अंतर, पांडे ने कहा कि विशिष्टता सुनिश्चित करने और पहचान की चोरी को रोकने में बायोमेट्रिक्स का केंद्रीय डेटाबेस महत्वपूर्ण भूमिका निभाता है। सीओडीआर के साथ निगरानी संभव नहीं है, क्योंकि सिल्लो को विलय नहीं किया गया है लेकिन स्मार्ट कार्ड में, डाटाबेस को मिलाकर यह अभी भी संभव है, उन्होंने कहा है। निगरानी और पहचान की चोरी पर सीईओ के तर्कों पर आप क्या कहते हैं?

 

 

 

हालांकि आधार का केंद्रीय ‘डेटाबेस’ ऑफलाइन और सुरक्षित हो सकता है, इसके ऑनलाइन डाटा स्टोर, जो काफी बड़े हैं, अभी भी बैंकों और दूरसंचार कंपनियों जैसे तीसरे पक्ष के साथ विलय कर रहे हैं। तो उनके माध्यम से भी निगरानी अभी भी बहुत संभावना हो सकती है

 

प्रमाणीकरण के एकमात्र उद्देश्य के लिए चेहरे की मान्यता (जहां सहमति दी जाती है ) पूरी तरह से ठीक हो सकती है, लेकिन केवल तब तक जब तक इसका इस्तेमाल केवल उस व्यक्ति के लिए गुप्त निगरानी और ट्रैकिंग के लिए किया जाता है। यदि हमारे अधिकारों की रक्षा के लिए और व्यक्तिगत स्वतंत्रता की गारंटी के लिए कोई कानून नहीं है, जैसे गोपनीयता, तो हमारे समाज और हमारे जीवन के बहुत रास्ते खतरे में डाल दिए जाएंगे। यहां हम एडवर्ड स्नोडेन को उद्धृत कर सकते हैं: “यह तर्क देते हुए कि आप गोपनीयता के अधिकार की परवाह नहीं करते, क्योंकि आपके पास छिपाने के लिए कुछ भी नहीं है, यह कहने से अलग नहीं है कि आपको मुफ्त भाषण की परवाह नहीं है क्योंकि आपके पास कहने को कुछ नहीं है। ” सरकारी निगरानी के विचार के विरोध में आपको कुछ भी छिपाने की आवश्यकता नहीं है

 

यह तर्क दिया गया है कि गोपनीयता एक प्रथम विश्व विशेषाधिकार है। भारत गरीबी और अभाव की समस्याओं से ग्रस्त है और गोपनीयता के मुद्दे ‘ उच्छिष्टवर्गवादी ‘ हैं। क्या आप सहमत हैं?

 

यह सिर्फ एक अमीर आदमी की समस्या नहीं है। डेटा उल्लंघनों के माध्यम से वित्तीय धोखाधड़ी किसी के भी जीवन को प्रभावित कर सकती है। वास्तव में यह मध्यम और श्रमिक वर्ग को सबसे अधिक प्रभावित करेगा, क्योंकि दूसरों की तुलना में से इसे ठीक करना, उनके लिए कठिन होगा।

 

मेरा मानना ​​है कि इन समस्याओं को प्रकाश में लाने और नागरिकों के रूप में हमारे अधिकारों पर चर्चा करके हम गरीबी और अभाव जैसे मुद्दों से पीछे नहीं हटते हैं। वास्तविकता यह है कि, चाहे उनकी सामाजिक-आर्थिक स्थिति की परवाह किए बिना, अधिक भारतीय अब स्मार्ट फोन और बैंकिंग सेवाओं से जुड़ रहे हैं ( जैसे कि भारतीय सरकार ने अपने डिजिटल समावेशन कार्यक्रम के साथ योजना बनाई थी ) इसलिए जाहिर है, सुरक्षा और गोपनीयता के लिए हमें अधिक संवेदनशील होना होगा, क्योंकि खतरे भी बढ रहे हैं। इसे अब “एलिटिस्ट” समस्या के रूप में बर्खास्त नहीं किया जा सकता है

 

(सलदानहा सहायक संपादक हैं और इंडियास्पेंड के साथ जुड़ी हैं।)

 

यह साक्षात्कार मूलत: अंग्रेजी में 30 मार्च 2018 को indiaspend.com पर प्रकाशित हुआ है।

 

हम फीडबैक का स्वागत करते हैं। हमसे respond@indiaspend.org पर संपर्क किया जा सकता है। हम भाषा और व्याकरण के लिए प्रतिक्रियाओं को संपादित करने का अधिकार रखते हैं।

 
__________________________________________________________________

 

“क्या आपको यह लेख पसंद आया ?” Indiaspend.com एक गैर लाभकारी संस्था है, और हम अपने इस जनहित पत्रकारिता प्रयासों की सफलता के लिए आप जैसे पाठकों पर निर्भर करते हैं। कृपया अपना अनुदान दें :

 

Views
2062

Leave a Reply

Your email address will not be published. Required fields are marked *