मलयाला मनोरमा की रिपोर्ट बताती है कि अगर किसी व्यक्ति का मोबाइल नंबर टेलीग्राम पर डाला जाता तो रिप्लाई बॉट (Reply bot) फ़ौरन उसके द्वारा कोविन ऐप पर दिए गए विवरण जैसे आधार, पासपोर्ट या पैन कार्ड की जानकारी मुहैया करा देता. साथ ही, इसमें व्यक्ति का जेंडर, जन्मतिथि और उन्होंने कहां वैक्सीन ली, यह जानकारी भी थी. केंद्र सरकार ने डेटा लीक से इनकार किया है.
नई दिल्ली: सरकार द्वारा कोविड-19 टीकाकरण की बुकिंग के लिए बनाए गए कोविन ऐप पर अपलोड की गई नागरिकों की निजी जानकारी टेलीग्राम ऐप पर डालने की खबर सामने आई है.
मलयाला मनोरमा की रिपोर्ट बताती है कि अगर किसी व्यक्ति का मोबाइल नंबर टेलीग्राम पर डाला जाता है तो रिप्लाई बॉट (Reply bot) फ़ौरन उसके द्वारा कोविन ऐप पर दिए गए विवरण जैसे आधार, पासपोर्ट या पैन कार्ड की जानकारी मुहैया करा देता है. साथ ही, जवाब में व्यक्ति का जेंडर, जन्मतिथि और उन्होंने कहां वैक्सीन ली, यह जानकारी भी थी.
इसी तरह, यदि किसी का आधार नंबर डाला जाए, तब भी यही सारी जानकारियां देखी जा सकती थीं. साथ ही, फोन नंबर डालने पर एक से अधिक व्यक्तियों की जानकारी भी देखी जा सकती थी क्योंकि कई परिवारों में एक ही नंबर पर कई सदस्यों का रजिस्ट्रेशन किया गया था.
पत्रकार जिक्कू वर्गीज़ जैकब ने एक ट्वीट में बताया कि अख़बार ने ‘परिवार एवं कल्याण मंत्रालय के सचिव का मोबाइल नंबर डालकर इसकी पुष्टि भी की थी. जैकब ने लिखा, ‘हमें (टेलीग्राम ऐप पर) उनकी और उनकी पत्नी (जो एक विधायक हैं) की जानकारियां नजर आईं. दोनों का रजिस्ट्रेशन एक ही मोबाइल नंबर से हुआ था.’
Also checked the details of ministers, secretaries from various ministries etc.We could see the DoB and passport number of those who have updated it for international travel. For others,there is birth year and a default value 'Jan-1' (coz birth year was only been asked at first)
— Jikku Varghese Jacob (@Jikkuvarghese) June 12, 2023
जैकब ने बताया कि मंत्रियों और विभिन्न मंत्रालयों के सचिवों की जानकारियां भी वहां उपलब्ध थीं. साथ ही, जिन लोगों ने अपनी जन्मतिथि और अंतरराष्ट्रीय यात्राओं के लिए पासपोर्ट नंबर अपडेट किया था, उनकी ये जानकारियां भी वहां थीं.
ज्ञात हो कि कोविन ऐप को वन टाइम पासवर्ड यानी संबंधित फोन नंबर पर आने वाले ओटीपी से ही खोला जा सकता है. इसी सिस्टम को टेलीग्राम के बॉट द्वारा बाईपास कर दिया गया.
रिपोर्ट बताती है कि बॉट द्वारा लीक किए गए डेटा में पत्रकारों और विपक्षी नेताओं की जानकारियां भी शामिल हैं. बताया गया है कि सोमवार सुबह खबर के सामने आने के बाद इस बॉट को ब्लॉक कर दिया गया.
सरकार ने ‘डेटा लीक’ से इनकार किया
इस बीच, केंद्र सरकार ने इस बात से इनकार किया है कि कोविन ऐप या डेटाबेस में कोई सेंध लगाई गई थी. केंद्रीय इलेक्ट्रॉनिक्स और प्रौद्योगिकी राज्यमंत्री राजीव चंद्रशेखर ने दावा किया कि बॉट द्वारा एक्सेस किया गया डेटा ‘थ्रेट एक्टर डेटाबेस से’ है, जो लगता है कि ‘पुराने चुराए गए/सेंध लगाए गए डेटा’ से लिया गया है.
With ref to some Alleged Cowin data breaches reported on social media, @IndianCERT has immdtly responded n reviewed this
✅A Telegram Bot was throwing up Cowin app details upon entry of phone numbers
✅The data being accessed by bot from a threat actor database, which seems to…
— Rajeev Chandrasekhar 🇮🇳 (@Rajeev_GoI) June 12, 2023
उन्होंने एक ट्वीट में कहा, ‘ऐसा नहीं लगता है कि कोविन ऐप या डेटाबेस में सीधे कोई सेंध लगाई गई है.’ उन्होंने यह भी जोड़ा कि एक ‘राष्ट्रीय डेटा गवर्नेंस पॉलिसी’ को अंतिम रूप दे दिया गया है जो सरकार के लिए डेटा स्टोरेज, पहुंच और सुरक्षा मानकों का एक सामान्य फ्रेमवर्क तैयार करेगा.’
हालांकि, केंद्रीय स्वास्थ्य मंत्रालय ने दावा किया है कि कोविन डेटा से व्यक्तिगत जानकारी लीक होने की ख़बरें निराधार हैं. इसने जोड़ा, ‘स्वास्थ्य मंत्रालय का कोविन पोर्टल डेटा प्राइवेसी के लिए पर्याप्त सुरक्षा उपायों के साथ पूरी तरह से सुरक्षित है.’
Co-WIN portal of Health Ministry is completely safe with safeguards for data privacy. All reports of data breach are without any basis and mischievous in nature. Health Ministry has requested CERT-In to look into this issue & submit a report: Government of India pic.twitter.com/hXbTpl3FNU
— ANI (@ANI) June 12, 2023
बयान में दावा किया गया है कि कोविन की डेवलपर टीम ने ‘पुष्टि की है कि कोई सार्वजनिक एपीआई नहीं है जहां ओटीपी के बिना डेटा निकाला जा सकता है. इसके अलावा, कुछ एपीआई हैं जिन्हें डेटा साझा करने के लिए आईसीएमआर जैसी थर्ड पार्टी के साथ साझा किया गया है. बताया गया है कि ऐसे ही एक एपीआई में एक फीचर है जहां आधार के सिर्फ एक मोबाइल नंबर का इस्तेमाल कर कॉल करके डेटा साझा करने की सुविधा है. हालांकि, यह एपीआई भी बहुत विशिष्ट है और यह केवल कोविन एप्लिकेशन द्वारा बताए गए विश्वसनीय एपीआई से ही रिक्वेस्ट स्वीकार करता है.
बयान में कहा गया है कि मंत्रालय ने इंडियन कंप्यूटर इमरजेंसी रेस्पॉन्स टीम (सीईआरटी-इन) से ‘इस मामले को देखकर रिपोर्ट जमा करने’ का अनुरोध किया है और पोर्टल के मौजूदा सुरक्षा उपायों की समीक्षा के लिए एक आंतरिक अभ्यास शुरू किया गया है.
सीईआरटी-इन की प्रारंभिक रिपोर्ट में बताया गया है कि टेलीग्राम बॉट का बैकएंड डेटाबेस कोविन डेटाबेस के ‘एपीआई तक सीधे एक्सेस नहीं कर रहा था.’
उल्लेखनीय है कि इससे पहले साल 2021 में कोविन के हैक होने की ख़बरों का खंडन किया था. तब मिंट की एक रिपोर्ट में बताया गया था कि तब भी केंद्रीय स्वास्थ्य मंत्रालय ने हैकिंग के दावों को ख़ारिज करते हुए कहा था कि सीईआरटी-इन इस मामले की जांच करेगा.
