ഭീം_യു.പി.ഐ പേയ്മെന്റ് സംവിധാനത്തിൽ വൻ ഡാറ്റാ ചോർച്ച. ലക്ഷക്കണക്കിന് ഉപഭോക്തക്കളുടെ അതിപ്രധാന വിവരങ്ങൾ ചോർന്നു. ആധാർ, ഐ.ഡി. പ്രൂഫുകൾ, ബയോമെട്രിക്ക് വിവരങ്ങൾ (ഫിംഗർ പ്രിന്റ് സ്കാൻ, ഫോട്ടോ etc) ഉൾപ്പടെ ചോർന്നുവെന്നു റിപ്പോർട്ട്.
ലോകത്തിലെ ഏറ്റവും വലിയ വി.പി.എൻ. റിവ്യൂ ടീം ആയ വി.പി.എൻ.മെന്റർ ആണ് വൻ സുരക്ഷാ വീഴ്ച കണ്ടെത്തിയത്. ഭിം-യു.പി.ഐ. പ്രൊമോഷനു വേണ്ടി ഇന്ത്യ ഗവണ്മെന്റ് തയ്യാറാക്കിയ സി.ഏസ്.സി.ഭിം (www.cscbhim.in) എന്ന വെബ്സൈറ്റിൽ നിന്നുമാണ് വിവര ചോർച്ച ഉണ്ടായിരിക്കുന്നത്. ലക്ഷക്കണക്കിന് ആളുകളുടെ വിവരങ്ങൾ ഉൾക്കൊള്ളുന്ന 409 ജിഗാബൈറ്റ് ഡാറ്റ, സൈബർ സുരക്ഷയുടെ പ്രാഥമിക പാഠങ്ങൾ മറന്നുകൊണ്ടു കൈകാര്യം ചെയ്തു പൊന്നിരുന്നതുകൊണ്ടാണ് ചോർന്നത്.
പണരഹിത ഇടപാടുകൾ പ്രോത്സാഹിപ്പിക്കുന്നതിന് 2016-ൽ ഇന്ത്യാ ഗവണ്മെന്റ് ആവിഷ്കരിച്ച ഭിം, ബാങ്ക് അക്കൗണ്ടുകൾ തമ്മിലും ഈ-വ്യാപാരത്തിനും മൊബൈൽ ഫോണിൽ നിന്ന് പണമിടപാടുകൾ സാധ്യമാക്കുന്ന സംവിധാനമാണ്. നാഷണൽ പേയ്മെന്റ് കോർപ്പറേഷൻ ഓഫ് ഇന്ത്യയുടെ (NPCI) യു.പി.ഐ. സാങ്കേതത്തിലൂടെയാണ് ഇടപാടുകൾ നടത്തുന്നത്. എല്ലാ ബാങ്ക് അക്കൗണ്ട് ഉടമകൾക്കും തങ്ങളുടെ മൊബൈൽ നമ്പറുമായി ബന്ധിപ്പിച്ച് ഒരു ഐ.ഡി. നല്കികൊണ്ടാണ് ഇതു പ്രവർത്തിക്കുന്നത്. വ്യക്തികൾ തമ്മിലോ, വ്യാപാര സ്ഥാപനങ്ങൾ തമ്മിലോ, വ്യക്തികളും വ്യാപാര സ്ഥാപനങ്ങളും തമ്മിലോ പണമിടപാടുകൾ നടത്താം.
സി.എസ്.ഈ.-ഇ-ഗവർണൻസ് സർവീസ് ലിമിറ്റഡ് എന്ന കമ്പനിയും ഇന്ത്യാ ഗവണ്മെന്റും ചേർന്നൊരുക്കിയ വെബ്സൈറ്റിൽ ആണ് സുരക്ഷാ വീഴ്ച. വിവരങ്ങൾ ശേഖരിച്ചു സൂക്ഷിച്ചിരുന്നത് ആമസോണ് വെബ്സർവീസിന്റെ എസ്3 ബക്കറ്റിൽ ആണ്. ഈ സേവനം ഉപയോഗപ്പെടുത്തുന്നവർ അവരുടെ അക്കൗണ്ടിൽ ആവശ്യമായ സുരക്ഷാമാനകങ്ങൾ ഒരുക്കേണ്ടതുണ്ട്. എന്നാൽ ഇവിടെ സി.എസ്.സി.-ഭീം എന്ന അക്കൗണ്ടിൽ അത്തരത്തിലുള്ള യാതൊരു മുൻകരുതലുകളും സ്വീകരിച്ചിരുന്നില്ല. എൻക്രിപ്ഷനോ മറ്റു സുരക്ഷാ പ്രോട്ടോകോളുകളോ ഒന്നും സ്വീകരിച്ചിരുന്നില്ല. സുരക്ഷ സംബന്ധിച്ച ആമസോണിന്റെ മാർഗനിർദേശങ്ങളും പാലിച്ചിരുന്നില്ല.
രാജ്യത്തെമ്പാടും ഭീം-യു.പി.ഐ. പ്രചാരണത്തിന് രൂപകൽപ്പന ചെയ്ത ഈ വെബ്സൈറ്റിൽ ലക്ഷക്കണക്കിന് വ്യാപരികളാണ് രജിസ്റ്റർ ചെയ്തിരുന്നത്. കച്ചവടക്കാർ, സേവനദാതാക്കൾ, പ്ലംബര്മാര്, കർഷകർ, മെക്കാനിക്കുകൾ എന്നിങ്ങനെ നിരവധി ആളുകൾ. 2019 ഫെബ്രുവരി മാസം മുതലുള്ള വിവരങ്ങളാണ് പ്രസ്തുത എ. ഡബ്ലിയു. എസ്.- എസ്.3 ബക്കറ്റിൽ ഉള്ളതെങ്കിലും അതു തന്നെ 70 ലക്ഷത്തിലേറെ വിവരങ്ങൾ വരും.
സ്കാൻ ചെയ്ത ആധാർ ലെറ്ററുകൾ, ജാതി സർട്ടിഫിക്കറ്റുകൾ, ഫോട്ടോകൾ, വിദ്യാഭ്യാസ രേഖകളും സർട്ടിഫികറ്റുകളും, പണമിടപാടുകളുടെ തെളിവായി സൂക്ഷിച്ച സ്ക്രീന്ഷോട്ടുകൾ, പാൻ കാർഡ്, പേര്, വിലാസം, ജനനത്തിയത്തി, ബയോമെട്രിക്ക് വിവരങ്ങൾ, വിരലടയാള സ്കാൻ, തിരിച്ചറിയൽ രേഖകൾ, നമ്പറുകൾ തുടങ്ങി നിരവധി വിവരങ്ങളാണ് പുറത്തായത്. കൂടാതെ വ്യക്തിഗത ഉപഭോക്താക്കളുടെയും വ്യാപരികളുടെയും പേരും വിലാസവും ഫോൺ നമ്പറും യു.പി.ഐ. ഐ.ഡി.യുമൊക്കെ ഉൾപ്പെടുന്ന സി.എസ്.വി. ഫയലുകളും ഉണ്ടായിരുന്നു.18 വയസിൽ താഴെയുള്ള കുട്ടികളുടെയടക്കം വിവരങ്ങൾ ഉണ്ടായിരുന്നു എന്നത് ഇതുപയോഗിച്ചുള്ള തട്ടിപ്പുകളുടെ സാധ്യത കൂട്ടുന്നു. ക്രിമിനൽ ഹാക്കർമാരുടെ കൈയ്യിൽ ഒരു ബാങ്കിന്റെ മുഴുവൻ വിവരശേഖരം മുഴുവൻ ലഭിക്കുന്നതിന് സമാനമായ പ്രശ്നങ്ങളാണ് ഇത് ഉണ്ടാക്കുന്നത്.
തട്ടിപ്പിന്റെ ചില സാധ്യതകൾ ലഘുവായി വിവരിക്കാം:1. വ്യക്തിത്വ അപഹരണം (Identity Theft): ഇതിൽ ലഭ്യമായ തിരിച്ചറിയൽ വിവരങ്ങൾ ഉപയോഗിച്ച് മറ്റൊരാളുടെ പേരിൽ ബാങ്ക് അക്കൗണ്ട് തുടങ്ങാം, ഇടപാടുകൾ നടത്താം, കമ്പനി രജിസ്റ്റർ ചെയ്യാം, നിയമവിരുദ്ധമായ സാധാനങ്ങൾ വാങ്ങാം, കുറ്റകൃത്യങ്ങൾ ചെയ്യാം…
2. നികുതി തട്ടിപ്പുകൾ: മറ്റൊരാളുടെ നികുതി വിവരങ്ങൾ ഉപയോഗിച്ച്, തെറ്റായ കണക്കുകൾ സമർപ്പിക്കാം
3. മോഷണം: ഭിം വിവരങ്ങൾ ഉപയോഗിച്ച് പണം തട്ടിയെടുക്കാനും ബാങ്ക് അക്കൗണ്ടിന്റെ നിയന്ത്രണം കൈവശപ്പെടുത്താനും കഴിഞ്ഞേക്കാം.
4. വ്യാപരികളുടെയും സുഹൃത്തുക്കളുടെയും ഐ.ഡി. കൾക്ക് സമാനമായ ഐ.ഡി.കളും മറ്റും ഉണ്ടാക്കുക വഴി ആപ്പുകൾ മുഖേന പണം തട്ടാനുള്ള സാധ്യതയുണ്ട്.
സൈബർ സുരക്ഷാ സാക്ഷരത ദയനീയമായ നിലയിൽ ഉള്ള നമ്മുടെ നാട്ടിൽ ഇതിന്റെ പ്രത്യാഘാതങ്ങൾ പ്രവചനാതീതമാണ്. 70 ലക്ഷം ആളുകളിൽ ഒരു ചെറിയ ശതമാനത്തെ മാത്രം ലക്ഷ്യം വച്ചാൽ മതി വലിയ സാമ്പത്തിക തട്ടിപ്പുകൾ നടത്തുവാൻ.
എസ്.3 ബക്കറ്റ് ആക്സസ് ലഭിക്കുന്ന ക്രിമിനലുകൾ ഭിം-ന്റെ മുഴുവൻ വിവര-വിശകലന-സംവിധാനത്തെയും അപകടപ്പെടുത്തുന്ന അപകടകരമായ സോഫ്റ്റ്വെയറുകൾ ഉപയോഗിച്ച് തകർക്കാനും മതി.
സുരക്ഷാപ്രശ്നം കണ്ടെത്തിയതിനെത്തുടർന്ന് വി.പി.എൻ. മെന്റേഴ്സ് ആദ്യം സി.എസ്.സി.യെ സമീപിച്ചുവെങ്കിലും പ്രതികരണം ഒന്നുമുണ്ടായില്ലത്രേ. അതേതുടർന്ന് ഏപ്രിൽ 28-ന് അവർ CERT-in (Computer Emergency Response Team)-നെ സമീപിച്ചു. അങ്ങനെ മേയ് മാസം 22-ഓട് കൂടി പ്രശ്നം പരിഹരിക്കപ്പെട്ടു എന്നാണ് റിപ്പോർട്ട്.
ഒരു വിവര സുരക്ഷാ/ സ്വകാര്യതാ നിയമം പോലുമില്ല നമ്മുടെ രാജ്യത്ത്. ഇവിടെ ഇത്രമേൽ ഗുരുതരമായ വീഴ്ചകളെ എങ്ങനെയാണ് കൈകാര്യം ചെയ്യാനാകുക എന്നത് ഒരു ചോദ്യചിഹ്നമാണ്. സ്വകാര്യതാ നിയമവും വിവരസുരക്ഷയ്ക്കും സ്വകാര്യതാ സംരക്ഷണത്തിനും വേണ്ടിയുള്ള സമഗ്രമായ ചട്ടക്കൂടും എത്രമാത്രം അനിവാര്യമാണ് എന്നത് ഒരിക്കൽ കൂടി അടിവരയിട്ടു പറയുകയാണ് ഈ സംഭവവികാസം.
This article was published in DoolNews on 02/06/2020
