Top

പൊതുമേഖല സ്ഥാപനമായ ഇന്‍ഡെയിനില്‍ നിന്നും അധാര്‍ വിവരങ്ങള്‍ ചോര്‍ന്നതായി വാര്‍ത്ത; നിഷേധിച്ച് ഗവണ്‍മെന്‍റ്

പൊതുമേഖല സ്ഥാപനമായ ഇന്‍ഡെയിനില്‍ നിന്നും അധാര്‍ വിവരങ്ങള്‍ ചോര്‍ന്നതായി വാര്‍ത്ത; നിഷേധിച്ച് ഗവണ്‍മെന്‍റ്
അധാര്‍ ഉപയോക്താക്കളുടെ സ്വകാര്യ വിവരങ്ങള്‍ ആര്‍ക്ക് വേണമെങ്കിലും ഡൌണ്‍ലോഡ് ചെയ്യാമെന്ന ഡല്‍ഹി കേന്ദ്രമായി പ്രവര്‍ത്തിക്കുന്ന സുരക്ഷാ ഗവേഷകന്റെ കണ്ടെത്തല്‍ തള്ളിക്കളഞ്ഞുകൊണ്ട് യുണീക് ഐഡന്‍റിഫിക്കേഷന്‍ അതോറിറ്റി ഓഫ് ഇന്‍ഡ്യ രംഗത്തെത്തി. മാര്‍ച്ച് 23നു ZDNet എന്ന വെബ്സൈറ്റ് പ്രസിദ്ധീകരിച്ച റിപ്പോര്‍ട്ടിലാണ് ഗവണ്‍മെന്‍റ് ഉടമസ്ഥതയിലുള്ള ആധാറിന്റെ ചോര്‍ച്ച സംബന്ധിച്ച വെളിപ്പെടുത്തലുകള്‍ പുറത്തുവന്നത്.

“ഔദ്യോഗിക കണക്കുകള്‍ പ്രകാരം 1.1 ബില്ല്യണ്‍ ഇന്ത്യക്കാരുടെ വിരലടയാളവും കൃഷ്ണമണിയുടെ ചിത്രവുമെല്ലാം അടങ്ങുന്ന ബയോമെട്രിക് വിവരങ്ങള്‍ രേഖപ്പെടുത്തിയതാണ് സര്‍ക്കാരിന്റെ ഈ വ്യക്തിവിവര ശേഖരമായ ആധാര്‍. ഈ വിവരശേഖരത്തിലുള്ള ആര്‍ക്കും തങ്ങളുടെ വിരലടയാളം ഉപയോഗിച്ച് ബാങ്ക് എക്കൌണ്ട് തുറക്കാനും, SIM കാര്‍ഡ് എടുക്കാനും, സേവനങ്ങള്‍ ലഭിക്കാനും, സര്‍ക്കാര്‍ ഇളവുകളും സഹായങ്ങളും ലഭിക്കാനും വരെ സാധിക്കും. ആമസോണ്‍, ഉബര്‍ പോലുള്ള കമ്പനികള്‍ക്ക് ആധാര്‍ വിവരങ്ങള്‍ ഉപയോഗിച്ചാല്‍ തങ്ങളുടെ ഉപഭോക്താക്കളെ കണ്ടെത്താന്‍ കഴിയും.” ZDNetല്‍ ‘ആധാര്‍ വിവരങ്ങള്‍ വീണ്ടും ചോര്‍ന്നു’ എന്ന തലക്കെട്ടില്‍ സാക് വിറ്റാക്കാര്‍ എഴുതിയ റിപ്പോര്‍ട്ടില്‍ പറയുന്നു.

ഈ വാര്‍ത്തയില്‍ യാതൊരു സത്യവും ഇല്ലെന്നും UIDAIയുടെ ഡാറ്റാബേസില്‍ യാതൊരു ചോര്‍ച്ചയും സംഭവിച്ചിട്ടില്ല എന്നുമാണ് വാര്‍ത്തയോട് പ്രതികരിച്ചുകൊണ്ട് UIDAI ട്വീറ്റ് ചെയ്തത്. ആധാര്‍ വിവരങള്‍ പൂര്‍ണ്ണമായും സുരക്ഷിതമാണ് എന്നവകാശപ്പെട്ട UIDAI, ZDNet പ്രസിദ്ധീകരിച്ച റിപ്പോര്‍ട്ട് “തെറ്റും അടിസ്ഥാനമില്ലാത്തതും നിരുത്തരവാദപര”വുമാണ് എന്നു വ്യക്തമാക്കി.








“പൊതുമേഖല സ്ഥാപനമായ Indane-ല്‍ വിവരശേഖര സംവിധാനത്തില്‍ വന്ന ചോര്‍ച്ച മൂലം എല്ലാ ആധാര്‍ ഉടമകളുടെയും സ്വകാര്യ വിവരങ്ങള്‍, അവരുടെ പേരുകള്‍, പ്രത്യേക 12 അക്ക തിരിച്ചറിയല്‍ അക്കങ്ങള്‍, അവര്‍ ബന്ധിപ്പിക്കപ്പെട്ട സേവനങ്ങള്‍, ബാങ്ക് വിവരങ്ങള്‍, മറ്റ് സ്വകാര്യ വിവരങ്ങള്‍ എന്നിവയാണ് ആര്‍ക്കും ചോര്‍ത്തിയെടുക്കാന്‍ പാകത്തിലായത്. ഡല്‍ഹിയിലുള്ള സുരക്ഷാ ഗവേഷകന്‍ കരണ്‍ സെയ്നി പറയുന്നത്, ആധാര്‍ നമ്പറുള്ള എല്ലാവരെയും ഇത് ബാധിക്കാം എന്നാണ്.” ZDNet റിപ്പോര്‍ട്ട് ചെയ്യുന്നു.

“ZDNet വാര്‍ത്തയുടെ യുക്തി അനുസരിച്ചു ഉപഭോക്താക്കളുടെ ബാങ്ക് അക്കൌണ്ട് നമ്പര്‍ ആധാര്‍ ഡാറ്റാബേസില്‍ ഉള്ളതുകൊണ്ടു എല്ലാ ഇന്ത്യന്‍ ബാങ്കുകളുടെയും വിവരങ്ങള്‍ ചോര്‍ത്തപ്പെട്ടു എന്നാണോ?” UIDAI ചോദിക്കുന്നു.

ഐഡന്‍റിറ്റി കാര്‍ഡ് നമ്പര്‍ മറ്റൊരാളുടെ കൈവശം ആയാല്‍ അത് സുരക്ഷാ ഭീഷണി ഉണ്ടാക്കും എന്നത് UIDAI നിഷേധിച്ചു. വിരലടയാളം, കൃഷ്ണമണിയുടെ സ്കാനിംഗ്, വണ്‍ ടൈം പാസ് വേര്‍ഡ് എന്നിവ ട്രാന്‍സാക്ഷന്‍ നത്താണ്‍ വേണം എന്നത് തന്നെ കാരണം.

ഒരു മാസത്തിലേറെ ശ്രമിച്ചിട്ടും ഞങ്ങളുടെ ആവര്‍ത്തിച്ചുള്ള അന്വേഷണങ്ങള്‍ക്ക് ആരും മറുപടി തന്നില്ല എന്ന് ZDNet പറയുന്നു. "പിന്നീട് ഞങ്ങള്‍ ന്യൂയോര്‍ക്കിലെ ഇന്ത്യന്‍ കോണ്‍സുലറ്റിലെ വാണിജ്യ, കസ്റ്റംസ് കോണ്‍സുല്‍ ദേവി പ്രസാദ് മിശ്രയെ ഈ വിവരങ്ങള്‍ അറിയിച്ചു. രണ്ടാഴ്ച്ചയ്ക്കകം ഈ പ്രശ്നം വളരെ വിശദമായി അവതരിപ്പിച്ചു, ഞങ്ങള്‍ പല തുടര്‍ ചോദ്യങ്ങള്‍ക്കും മറുപടി നല്കി. ഒരാഴ്ച്ച കഴിഞ്ഞിട്ടും ഇപ്പോളും ഈ പ്രശ്നം പരിഹരിക്കപ്പെട്ടിട്ടില്ല. വെള്ളിയാഴ്ച്ച ഞങ്ങള്‍ ഈ വാര്ത്ത നല്കുമെന്ന് ഞങ്ങള്‍ കോണ്‍സുലിനെ അറിയിച്ചിരുന്നു. ഇന്ത്യന്‍ സര്‍ക്കാരില്‍ നിന്നും അഭിപ്രായവും അഭ്യര്‍ത്ഥിച്ചു. അവസാനത്തെ ആ കത്തിന് കോണ്‍സുല്‍ മറുപടി തന്നില്ല. അത് പ്രസിദ്ധീകരിക്കുമ്പോഴും ആ സുരക്ഷാ വീഴ്ച്ചയുള്ള സംവിധാനം ഓണ്‍ലൈനിലുണ്ടായിരുന്നു." പക്ഷേ പ്രസിദ്ധീകരണത്തിന് മണിക്കൂറുകള്‍ക്കുള്ളില്‍ കുഴപ്പം ബാധിച്ച ആ ഭാഗം ഓണ്‍ലൈനില്‍ നിന്നും മാറ്റിയെന്നും ZDNet പറയുന്നു.

ZDNet റിപ്പോര്‍ട്ട് തുടരുന്നു; "ഒരു API (Application Prograamme Interface) വഴിക്കാണ് സേവന ദാതാവായ Indane-നു ആധാര്‍ വിവരശേഖരവുമായി ബന്ധം. ഉപഭോക്താവിന്റെ നിലയും വിവരങ്ങളും തിരിച്ചറിയാന്‍ കമ്പനി ഇതിനെ ആശ്രയിക്കുന്നു. പക്ഷേ കമ്പനി ഈ API സുരക്ഷിതമാക്കാത്തതുമൂലം ഇവരുടെ ഉപഭോക്താവായാലും അല്ലെങ്കിലും ഓരോ ആധാര്‍ ഇടമയുടെയും സ്വകാര്യ വിവരങ്ങളും ചോര്‍ത്തിയെടുക്കാന്‍ കഴിയുന്നു.
API-യുടെ endpoint, പ്രക്രിയാവസാനത്തിന്- കമ്പനി domain-ലുള്ള ഒരു URL- നിയന്ത്രണ സംവിധാനങ്ങളൊന്നുമില്ല എന്നു സൈനി പറയുന്നു. ഈ endpoint ഒരു hardcoded access token ആണ് ഉപയോഗിച്ചത്. അത് തുറന്നാല്‍ "INDAADHAARSECURESTATUS," എന്നാണ്. ആരെയും കൂടുതല്‍ അനുമതി കൂടാതെ ആധാര്‍ വിവരങ്ങള്‍ ചോര്‍ത്താന്‍ അനുവദിക്കുന്ന സംവിധാനം.

API-ക്കു എണ്ണത്തിന്റെ പരിമിതികളും ഇല്ല എന്നു സൈനി പറഞ്ഞു. ഇത് നുഴഞ്ഞുകയറുന്നവര്‍ക്ക്, ഓരോ സംഖ്യാമാറ്റത്തിലും-ആയിരക്കണക്കിന് ലക്ഷങ്ങളാകാം- ആധാര്‍ നമ്പറുകള്‍ ചോര്‍ത്താനും വിവരങ്ങള്‍ ശേഖരിക്കാനും സാധ്യമാക്കുന്നു. 1234 5678 0000 മുതല്‍ 1234 5678 9999 തുടങ്ങിയ അക്കങ്ങളൂടെ കൂട്ടുകളോടെ ആധാര്‍ നമ്പറുകള്‍ തിട്ടപ്പെടുത്താന്‍ സാധ്യമാണെന്നും അയാള്‍ പറഞ്ഞു.

“ഒരു നുഴഞ്ഞുകയറ്റക്കാരന് ചില സാധുവായ ആധാര്‍ നമ്പറുകള്‍ കിട്ടാനും അതിനെ അവയുടെ മറ്റ് വിവരങ്ങള്‍ എടുക്കാനും സാധിക്കും, “ അയാള്‍ പറഞ്ഞു. എണ്ണത്തിനുള്ള പരിധികള്‍ ഇല്ലാത്തതിനാല്‍ ഓരോ മിനിറ്റിലും ആയിരക്കണക്കിന് അഭ്യര്‍ത്ഥനകള്‍ അയക്കാന്‍ കഴിയും-അതും ഒരൊറ്റ കമ്പ്യൂട്ടറില്‍ നിന്നും.

തന്റെ ചില സുഹൃത്തുക്കള്‍ അവരുടെ അനുമതിയോടെ നല്കിയ ആധാര്‍ നമ്പറുകള്‍ ഈ endpoint-ലൂടെ ഇട്ടുനോക്കിയപ്പോള്‍ സെര്‍വര്‍ ആധാര്‍ ഉടമയുടെ മുഴുവന്‍ പേരും, അവരുടെ ഉപഭോക്തൃ നമ്പറും – Indane നല്‍കുന്ന ഒരു തനത് സവിശേഷ നമ്പര്‍- കാണിച്ചു. അതുമായി ബന്ധപ്പെട്ട ബാങ്ക് എക്കൌണ്ടുകളും വെളിപ്പെട്ടു എന്നു സെയ്നി പറയുന്നു. ZDNet കണ്ട സ്ക്രീന്‍ഷോട്ട് ഈ വ്യക്തികള്‍ ഉപയോഗിയ്ക്കുന്ന ബാങ്ക് എക്കൌണ്ടുകള്‍ ഏതെന്നു വെളിപ്പെടുത്തുന്നതായിരുന്നു-മറ്റ് ബാങ്കിംഗ് വിവരങ്ങള്‍ കണ്ടില്ലെങ്കിലും.

ഇതുതന്നെ UIDAI-യുടെ ട്വീറ്റിനെ - “ആധാര്‍ വിവരശേഖരം ബാങ്ക് എക്കൌണ്ടുകള്‍ സംബന്ധിച്ച ഒരു വിവരവും സൂക്ഷിക്കുന്നില്ല,” ചോദ്യം ചെയ്യുന്നതാണ്.

അതേ ദിവസം ഇലക്ട്രോണിക്സ്, വിവര സാങ്കേതിക വകുപ്പ് മന്ത്രി രവിശങ്കര്‍ പ്രസാദിന്റെ ട്വീറ്റില്‍ പറയുന്നു, “ആധാര്‍ നിങ്ങളുടെ ബാങ്ക് എക്കൌണ്ട് വിവരങ്ങള്‍ സൂക്ഷിക്കുന്നില്ല” എന്ന്.

സേവന ദാതാവിന്റെ ഉപഭോക്താക്കളുടെ വിവരങ്ങള്‍ മാത്രമല്ല ഇത് നല്കിയത്. മറ്റ് സേവനദാതാക്കളുമായി ബന്ധമുള്ള ആധാര്‍ ഉടമകളുടെ വിവരങ്ങളും API നല്കി.

“ഈ വിവരങ്ങള്‍ ഏതെങ്കിലും പരിമിത വിവര ശേഖരത്തില്‍ നിന്നല്ല, നിരന്തരം പുതുക്കുന്ന- 2014 മുതല്‍ 2017 പകുതി വരെ- ഒന്നില്‍ നിന്നാണെന്ന് കണ്ടു,” സൈനി പറയുന്നു. “UIDAI ആണോ ഈ വിവരങ്ങള്‍ (സേവന ദാതാവിന്) നല്‍കുന്നത് എന്നോ അതോ ബാങ്കുകളോ, ഗാസ് കമ്പനികളോ ആണോ എന്ന് എനിക്ക് ഊഹിച്ചു പറയാനാകില്ല. പക്ഷേ, എല്ലാവരുടെയും വിവരങ്ങള്‍ ലഭ്യമാണ്, ഒരു ആധികാരിക അനുമതിയുമില്ലാതെ-എണ്ണത്തില്‍ ഒരു പരിധിയുമില്ലാതെ.”

2014-ലെ പൊതുതെരഞ്ഞെടുപ്പിന് ഒരു മാസം മുമ്പ് നരേന്ദ്ര മോദി ഈ വിവരശേഖരത്തിന്റെ സുരക്ഷയെക്കുറിച്ച് ചോദ്യങ്ങള്‍ ഉയര്‍ത്തി.

“ആധാറിനെ സംബന്ധിച്ചു ഞാന്‍ കണ്ട സംഘത്തിനോ പ്രധാനമന്ത്രിക്കോ അതുയര്‍ത്തുന്ന സുരക്ഷാ പ്രശ്നങ്ങളെക്കുറിച്ചുള്ള എന്റെ ചോദ്യങ്ങള്‍ക്ക് ഉത്തരമ്മുണ്ടായിരുന്നില്ല. ഒരു കാഴ്ച്ചപ്പാടുമില്ല, രാഷ്ട്രീയ തട്ടിപ്പ് മാത്രമാണ്,” മോദി ഒരു ട്വീറ്റില്‍ പറഞ്ഞു.

ഇപ്പോള്‍ അയാളുടെ സര്‍ക്കാര്‍ ഈ തിരിച്ചറിയല്‍ സംവിധാനത്തെ സുപ്രീം കോടതിയില്‍ ന്യായീകരിക്കുകയാണ്. വ്യക്തിത്വ വിവര മോഷണമാണ് UIDAI-യും ആധാര്‍ ഉടമകളും നേരിടുന്ന വലിയ പ്രശ്നമെന്ന് ഏറെ നാളായി കരുതിയിരുന്നു. ആധാര്‍ നമ്പറുകള്‍ SIM കാര്‍ഡുകളുമായി ബന്ധപ്പെടുത്തിയത് പണം തട്ടിപ്പിനും മറ്റും വഴിവെച്ചു എന്നും വാര്‍ത്തകള്‍ വന്നു. നേരത്തെ ട്രിബ്യൂണ്‍ ദിനപത്രവും ആധാര്‍ വിവരങ്ങള്‍ ചോരുന്നത് സംബന്ധിച്ച വാര്‍ത്ത പുറത്തുവിട്ടിരുന്നു.

കൂടുതല്‍ വായിക്കാന്‍: https://goo.gl/g4DZCH

Next Story

Related Stories