ഡിജിറ്റൽ സേവനങ്ങൾ സാർവത്രികമാക്കുന്നു എന്ന് കേന്ദ്ര സർക്കാർ തുടർച്ചയായി അവകാശപ്പെടുമ്പോഴും, പൗരന്മാരുടെ അടിസ്ഥാന വിവരങ്ങൾക്ക് യാതൊരു സുരക്ഷയും നൽകാൻ സർക്കാരിന് കഴിയുന്നില്ല എന്നതിന്റെ ഏറ്റവും പുതിയ ഉദാഹരണമാണ് ഉമങ് പോർട്ടിലിൽ കണ്ടെത്തിയ സുരക്ഷാവീഴ്ച. ഇന്ത്യക്കാരുടെ ഏറ്റവും പ്രധാനപ്പെട്ട രേഖയായ ആധാർ സംബന്ധിച്ച വിവരങ്ങളും ഇപിഎഫ്ഒ അക്കൗണ്ട് വിവരങ്ങളുമാണ് തികഞ്ഞ അനാസ്ഥയോടെ സർക്കാർ സംവിധാനങ്ങൾ കൈകാര്യം ചെയ്തിരിക്കുന്നത്.
കോടിക്കണക്കിന് ഇന്ത്യക്കാരുടെ ആധാർ വിവരങ്ങളും, ഇപിഎഫ്ഒ അക്കൗണ്ട് വിവരങ്ങളും, പാചകവാതക ബുക്കിങ് വിശദാംശങ്ങളും ഉൾപ്പെടെയുള്ളവ പരസ്യമായി ചോരാൻ സാധ്യതയുള്ള വൻ പിഴവുകളാണ് രണ്ട് സ്വതന്ത്ര സൈബർ സുരക്ഷാ ഗവേഷകർ കണ്ടെത്തിയിരിക്കുന്നത്.
അടിസ്ഥാനപരമായി തകർന്ന ഡിസൈൻ
അക്ഷയ് സി എസ്, വിറൽ വഗേല എന്നീ ഗവേഷകരാണ് ഈ ഞെട്ടിക്കുന്ന വിവരങ്ങൾ പുറത്തുവിട്ടത്. 2400-ലധികം സർക്കാർ സേവനങ്ങൾ നൽകുന്ന ഒരു പ്ലാറ്റ്ഫോം എത്രത്തോളം അലക്ഷ്യമായാണ് നിർമിച്ചിരിക്കുന്നത് എന്നതിന്റെ ഏറ്റവും വലിയ ഉദാഹരണമാണിത്. 2016-ലെ ആധാർ നിയമപ്രകാരം (Aadhaar Act, 2016) ഉപയോക്താക്കളുടെ ആധാർ വിവരങ്ങൾ പ്ലെയിൻ ടെക്സ്റ്റായി (യാതൊരു സുരക്ഷാ കോഡുകളുമില്ലാതെ നേരിട്ട് വായിക്കാവുന്ന രൂപത്തിൽ) സൂക്ഷിക്കാൻ പാടില്ല എന്ന കർശന വ്യവസ്ഥയുണ്ട്. എന്നാൽ ഉമങ് പോർട്ടലിൽ പലയിടത്തും ഈ നിയമം കാറ്റിൽപ്പറത്തിക്കൊണ്ട് ഉപയോക്താക്കളുടെ വ്യക്തിവിവരങ്ങൾ പ്ലെയിൻ ടെക്സ്റ്റായി തന്നെ ലഭ്യമായിരുന്നു. സാങ്കേതികവിദ്യയുടെ ബാലപാഠങ്ങൾ പോലും അറിയാത്ത തരത്തിലുള്ള നിർമാണ പിഴവാണിത്.
പൗരന്മാരുടെ സമ്പാദ്യം അപകടത്തിൽ
വെറുതെ വിവരങ്ങൾ ചോരുന്നു എന്നത് മാത്രമല്ല, കോടിക്കണക്കിന് രൂപയുടെ സാമ്പത്തിക തട്ടിപ്പിന് ഈ പിഴവ് എങ്ങനെ വഴിയൊരുക്കുമായിരുന്നു എന്നതാണ് ഏറ്റവും ഭയാനകമായ വസ്തുത. ഉപയോക്താക്കളുടെ യൂണിക് അക്കൗണ്ട് നമ്പറുകൾ (UAN) പോർട്ടലിലൂടെ എളുപ്പത്തിൽ ലഭിക്കാൻ ഹാക്കർമാർക്ക് സാധിക്കുമായിരുന്നു. ഈ യുഎഎൻ ഉപയോഗിച്ച് ആളുകളുടെ ഇപിഎഫ്ഒ അക്കൗണ്ടിൽ കയറി, അതിൽ നൽകിയിരിക്കുന്ന ബാങ്ക് അക്കൗണ്ട് വിവരങ്ങൾ തിരുത്താനും, അതിലൂടെ ആ ഫണ്ട് മുഴുവൻ മറ്റൊരു അക്കൗണ്ടിലേക്ക് മാറ്റാനും ഈ സുരക്ഷാ പിഴവിലൂടെ സാധിക്കുമായിരുന്നു എന്ന് റിപ്പോർട്ടുകൾ അടിവരയിടുന്നു. അതായത് ഒരു സാധാരണക്കാരന്റെ ജീവിതസമ്പാദ്യം മുഴുവൻ നിമിഷനേരം കൊണ്ട് ഇല്ലാതാക്കാൻ പോന്നത്ര ഗുരുതരമായിരുന്നു ഈ വീഴ്ച.
ദുർബലമായ പ്രതിരോധവും സർക്കാരിന്റെ ന്യായീകരണവും
ഈ സുരക്ഷാ വീഴ്ചകൾ സർക്കാരിന്റെ ഐ ടി മന്ത്രാലയത്തെയും CERT-In നെയും അറിയിച്ചതിന് പിന്നാലെ, വളരെ തിടുക്കപ്പെട്ട് ഇപിഎഫ്ഒ തങ്ങളുടെ ഓൺലൈൻ പോർട്ടൽ മൈഗ്രേഷൻ എന്ന പേരിൽ പ്രവർത്തനരഹിതമാക്കിയിരുന്നു. സുരക്ഷാ പ്രശ്നങ്ങൾ ഐടി മന്ത്രാലയം ഔദ്യോഗികമായി അംഗീകരിക്കുകയും, വിവരങ്ങൾ എൻക്രിപ്റ്റ് ചെയ്തുവെന്ന് അവകാശപ്പെടുകയും ചെയ്തു. എന്നാൽ സർക്കാരിന്റെ ഈ പ്രതിരോധ നടപടികൾ തികച്ചും പ്രഹസനമാണെന്നാണ് അനലിസ്റ്റുകൾ വിലയിരുത്തുന്നത്. നിലവിൽ നൽകിയിരിക്കുന്ന എൻക്രിപ്ഷൻ വളരെ ദുർബലമാണെന്നും ലളിതമായ രീതികളിലൂടെ എളുപ്പത്തിൽ ഭേദിക്കാൻ കഴിയുന്നതാണെന്നുമാണ് ഗവേഷകർ കടുത്ത ഭാഷയിൽ വിമർശിക്കുന്നത്.
വരാനിരിക്കുന്ന വൻവിപത്ത്
ക്ലോഡ് മിത്തോസ് പോലെയുള്ള നൂതന എ ഐ മോഡലുകൾ ഉപയോഗിച്ച് ഹാക്കർമാർ സിസ്റ്റങ്ങളിലെ പഴുതുകൾ നിഷ്പ്രയാസം കണ്ടെത്താൻ സാധ്യതയുള്ള ഒരു കാലഘട്ടത്തിലാണു നാം ജീവിക്കുന്നത്. സർക്കാരിന്റെ കോഡുകൾ പരിശോധിക്കാൻ CERT-In ഒരു 'വാർ റൂം' തന്നെ തുറന്നിട്ടുണ്ടെങ്കിലും, ഈ നീക്കങ്ങളെല്ലാം അപകടം നടന്നതിന് ശേഷമുള്ള വെറും കണ്ണിൽപ്പൊടിയിടൽ തന്ത്രങ്ങളാണോ എന്ന് സംശയിക്കേണ്ടിയിരിക്കുന്നു.
വിവിധ വകുപ്പുകളുടെ സേവനങ്ങൾ ഏകോപിപ്പിക്കുക എന്ന ലക്ഷ്യം നല്ലതാണെങ്കിലും, സുരക്ഷയുടെ കാര്യത്തിൽ ഇത്രയും വലിയ അനാസ്ഥ കാണിക്കുന്നത് രാജ്യത്തെ പൗരന്മാരോടുള്ള വെല്ലുവിളിയാണ്. സർക്കാരിന്റെ ഡിജിറ്റൽ ഇൻഫ്രാസ്ട്രക്ചറിന്റെ അടിസ്ഥാനപരമായ സുരക്ഷാ സംവിധാനങ്ങൾ അടിയന്തരമായി പൊളിച്ചെഴുതിയില്ലെങ്കിൽ വലിയ സാമ്പത്തിക, സ്വകാര്യതാ ധ്വംസനങ്ങൾക്കാകും ഇന്ത്യ സാക്ഷ്യം വഹിക്കാൻ പോകുന്നത്.
A critical security vulnerability has been uncovered in India’s Unified Mobile Application for New-age Governance (UMANG) portal, potentially exposing the highly sensitive personal and financial data of millions of citizens. Independent cybersecurity researchers Akshay CS and Viral Vaghela flagged structural flaws within the platform, describing the system as "broken by design" due to systemic architectural issues that have likely existed for years. The UMANG portal integrates over 2,400 central and state government services, making this breach remarkably vast in scope.