നേരത്തെ ട്രിബ്യൂണ് ദിനപത്രവും ആധാര് വിവരങ്ങള് ചോരുന്നത് സംബന്ധിച്ച വാര്ത്ത പുറത്തുവിട്ടിരുന്നു
അധാര് ഉപയോക്താക്കളുടെ സ്വകാര്യ വിവരങ്ങള് ആര്ക്ക് വേണമെങ്കിലും ഡൌണ്ലോഡ് ചെയ്യാമെന്ന ഡല്ഹി കേന്ദ്രമായി പ്രവര്ത്തിക്കുന്ന സുരക്ഷാ ഗവേഷകന്റെ കണ്ടെത്തല് തള്ളിക്കളഞ്ഞുകൊണ്ട് യുണീക് ഐഡന്റിഫിക്കേഷന് അതോറിറ്റി ഓഫ് ഇന്ഡ്യ രംഗത്തെത്തി. മാര്ച്ച് 23നു ZDNet എന്ന വെബ്സൈറ്റ് പ്രസിദ്ധീകരിച്ച റിപ്പോര്ട്ടിലാണ് ഗവണ്മെന്റ് ഉടമസ്ഥതയിലുള്ള ആധാറിന്റെ ചോര്ച്ച സംബന്ധിച്ച വെളിപ്പെടുത്തലുകള് പുറത്തുവന്നത്.
“ഔദ്യോഗിക കണക്കുകള് പ്രകാരം 1.1 ബില്ല്യണ് ഇന്ത്യക്കാരുടെ വിരലടയാളവും കൃഷ്ണമണിയുടെ ചിത്രവുമെല്ലാം അടങ്ങുന്ന ബയോമെട്രിക് വിവരങ്ങള് രേഖപ്പെടുത്തിയതാണ് സര്ക്കാരിന്റെ ഈ വ്യക്തിവിവര ശേഖരമായ ആധാര്. ഈ വിവരശേഖരത്തിലുള്ള ആര്ക്കും തങ്ങളുടെ വിരലടയാളം ഉപയോഗിച്ച് ബാങ്ക് എക്കൌണ്ട് തുറക്കാനും, SIM കാര്ഡ് എടുക്കാനും, സേവനങ്ങള് ലഭിക്കാനും, സര്ക്കാര് ഇളവുകളും സഹായങ്ങളും ലഭിക്കാനും വരെ സാധിക്കും. ആമസോണ്, ഉബര് പോലുള്ള കമ്പനികള്ക്ക് ആധാര് വിവരങ്ങള് ഉപയോഗിച്ചാല് തങ്ങളുടെ ഉപഭോക്താക്കളെ കണ്ടെത്താന് കഴിയും.” ZDNetല് ‘ആധാര് വിവരങ്ങള് വീണ്ടും ചോര്ന്നു’ എന്ന തലക്കെട്ടില് സാക് വിറ്റാക്കാര് എഴുതിയ റിപ്പോര്ട്ടില് പറയുന്നു.
ഈ വാര്ത്തയില് യാതൊരു സത്യവും ഇല്ലെന്നും UIDAIയുടെ ഡാറ്റാബേസില് യാതൊരു ചോര്ച്ചയും സംഭവിച്ചിട്ടില്ല എന്നുമാണ് വാര്ത്തയോട് പ്രതികരിച്ചുകൊണ്ട് UIDAI ട്വീറ്റ് ചെയ്തത്. ആധാര് വിവരങള് പൂര്ണ്ണമായും സുരക്ഷിതമാണ് എന്നവകാശപ്പെട്ട UIDAI, ZDNet പ്രസിദ്ധീകരിച്ച റിപ്പോര്ട്ട് “തെറ്റും അടിസ്ഥാനമില്ലാത്തതും നിരുത്തരവാദപര”വുമാണ് എന്നു വ്യക്തമാക്കി.
We refute the reports in a certain section of media sourced from ZDNet which quote a person purportedly claiming to be a security researcher that a state-owned utility company has vulnerability which can be used to access huge amount of Aadhaar data including banking details. 1/8
— Aadhaar (@UIDAI) March 24, 2018
The story is totally baseless, false & irresponsible. It purports that the database of a state Utility company containing its customer details such as bank account numbers, consumer number, Aadhaar number (not the biometrics), etc., has vulnerability. 3/8
— Aadhaar (@UIDAI) March 24, 2018
“പൊതുമേഖല സ്ഥാപനമായ Indane-ല് വിവരശേഖര സംവിധാനത്തില് വന്ന ചോര്ച്ച മൂലം എല്ലാ ആധാര് ഉടമകളുടെയും സ്വകാര്യ വിവരങ്ങള്, അവരുടെ പേരുകള്, പ്രത്യേക 12 അക്ക തിരിച്ചറിയല് അക്കങ്ങള്, അവര് ബന്ധിപ്പിക്കപ്പെട്ട സേവനങ്ങള്, ബാങ്ക് വിവരങ്ങള്, മറ്റ് സ്വകാര്യ വിവരങ്ങള് എന്നിവയാണ് ആര്ക്കും ചോര്ത്തിയെടുക്കാന് പാകത്തിലായത്. ഡല്ഹിയിലുള്ള സുരക്ഷാ ഗവേഷകന് കരണ് സെയ്നി പറയുന്നത്, ആധാര് നമ്പറുള്ള എല്ലാവരെയും ഇത് ബാധിക്കാം എന്നാണ്.” ZDNet റിപ്പോര്ട്ട് ചെയ്യുന്നു.
“ZDNet വാര്ത്തയുടെ യുക്തി അനുസരിച്ചു ഉപഭോക്താക്കളുടെ ബാങ്ക് അക്കൌണ്ട് നമ്പര് ആധാര് ഡാറ്റാബേസില് ഉള്ളതുകൊണ്ടു എല്ലാ ഇന്ത്യന് ബാങ്കുകളുടെയും വിവരങ്ങള് ചോര്ത്തപ്പെട്ടു എന്നാണോ?” UIDAI ചോദിക്കുന്നു.
ഐഡന്റിറ്റി കാര്ഡ് നമ്പര് മറ്റൊരാളുടെ കൈവശം ആയാല് അത് സുരക്ഷാ ഭീഷണി ഉണ്ടാക്കും എന്നത് UIDAI നിഷേധിച്ചു. വിരലടയാളം, കൃഷ്ണമണിയുടെ സ്കാനിംഗ്, വണ് ടൈം പാസ് വേര്ഡ് എന്നിവ ട്രാന്സാക്ഷന് നത്താണ് വേണം എന്നത് തന്നെ കാരണം.
ഒരു മാസത്തിലേറെ ശ്രമിച്ചിട്ടും ഞങ്ങളുടെ ആവര്ത്തിച്ചുള്ള അന്വേഷണങ്ങള്ക്ക് ആരും മറുപടി തന്നില്ല എന്ന് ZDNet പറയുന്നു. “പിന്നീട് ഞങ്ങള് ന്യൂയോര്ക്കിലെ ഇന്ത്യന് കോണ്സുലറ്റിലെ വാണിജ്യ, കസ്റ്റംസ് കോണ്സുല് ദേവി പ്രസാദ് മിശ്രയെ ഈ വിവരങ്ങള് അറിയിച്ചു. രണ്ടാഴ്ച്ചയ്ക്കകം ഈ പ്രശ്നം വളരെ വിശദമായി അവതരിപ്പിച്ചു, ഞങ്ങള് പല തുടര് ചോദ്യങ്ങള്ക്കും മറുപടി നല്കി. ഒരാഴ്ച്ച കഴിഞ്ഞിട്ടും ഇപ്പോളും ഈ പ്രശ്നം പരിഹരിക്കപ്പെട്ടിട്ടില്ല. വെള്ളിയാഴ്ച്ച ഞങ്ങള് ഈ വാര്ത്ത നല്കുമെന്ന് ഞങ്ങള് കോണ്സുലിനെ അറിയിച്ചിരുന്നു. ഇന്ത്യന് സര്ക്കാരില് നിന്നും അഭിപ്രായവും അഭ്യര്ത്ഥിച്ചു. അവസാനത്തെ ആ കത്തിന് കോണ്സുല് മറുപടി തന്നില്ല. അത് പ്രസിദ്ധീകരിക്കുമ്പോഴും ആ സുരക്ഷാ വീഴ്ച്ചയുള്ള സംവിധാനം ഓണ്ലൈനിലുണ്ടായിരുന്നു.” പക്ഷേ പ്രസിദ്ധീകരണത്തിന് മണിക്കൂറുകള്ക്കുള്ളില് കുഴപ്പം ബാധിച്ച ആ ഭാഗം ഓണ്ലൈനില് നിന്നും മാറ്റിയെന്നും ZDNet പറയുന്നു.
ZDNet റിപ്പോര്ട്ട് തുടരുന്നു; “ഒരു API (Application Prograamme Interface) വഴിക്കാണ് സേവന ദാതാവായ Indane-നു ആധാര് വിവരശേഖരവുമായി ബന്ധം. ഉപഭോക്താവിന്റെ നിലയും വിവരങ്ങളും തിരിച്ചറിയാന് കമ്പനി ഇതിനെ ആശ്രയിക്കുന്നു. പക്ഷേ കമ്പനി ഈ API സുരക്ഷിതമാക്കാത്തതുമൂലം ഇവരുടെ ഉപഭോക്താവായാലും അല്ലെങ്കിലും ഓരോ ആധാര് ഇടമയുടെയും സ്വകാര്യ വിവരങ്ങളും ചോര്ത്തിയെടുക്കാന് കഴിയുന്നു.
API-യുടെ endpoint, പ്രക്രിയാവസാനത്തിന്- കമ്പനി domain-ലുള്ള ഒരു URL- നിയന്ത്രണ സംവിധാനങ്ങളൊന്നുമില്ല എന്നു സൈനി പറയുന്നു. ഈ endpoint ഒരു hardcoded access token ആണ് ഉപയോഗിച്ചത്. അത് തുറന്നാല് “INDAADHAARSECURESTATUS,” എന്നാണ്. ആരെയും കൂടുതല് അനുമതി കൂടാതെ ആധാര് വിവരങ്ങള് ചോര്ത്താന് അനുവദിക്കുന്ന സംവിധാനം.
API-ക്കു എണ്ണത്തിന്റെ പരിമിതികളും ഇല്ല എന്നു സൈനി പറഞ്ഞു. ഇത് നുഴഞ്ഞുകയറുന്നവര്ക്ക്, ഓരോ സംഖ്യാമാറ്റത്തിലും-ആയിരക്കണക്കിന് ലക്ഷങ്ങളാകാം- ആധാര് നമ്പറുകള് ചോര്ത്താനും വിവരങ്ങള് ശേഖരിക്കാനും സാധ്യമാക്കുന്നു. 1234 5678 0000 മുതല് 1234 5678 9999 തുടങ്ങിയ അക്കങ്ങളൂടെ കൂട്ടുകളോടെ ആധാര് നമ്പറുകള് തിട്ടപ്പെടുത്താന് സാധ്യമാണെന്നും അയാള് പറഞ്ഞു.
“ഒരു നുഴഞ്ഞുകയറ്റക്കാരന് ചില സാധുവായ ആധാര് നമ്പറുകള് കിട്ടാനും അതിനെ അവയുടെ മറ്റ് വിവരങ്ങള് എടുക്കാനും സാധിക്കും, “ അയാള് പറഞ്ഞു. എണ്ണത്തിനുള്ള പരിധികള് ഇല്ലാത്തതിനാല് ഓരോ മിനിറ്റിലും ആയിരക്കണക്കിന് അഭ്യര്ത്ഥനകള് അയക്കാന് കഴിയും-അതും ഒരൊറ്റ കമ്പ്യൂട്ടറില് നിന്നും.
തന്റെ ചില സുഹൃത്തുക്കള് അവരുടെ അനുമതിയോടെ നല്കിയ ആധാര് നമ്പറുകള് ഈ endpoint-ലൂടെ ഇട്ടുനോക്കിയപ്പോള് സെര്വര് ആധാര് ഉടമയുടെ മുഴുവന് പേരും, അവരുടെ ഉപഭോക്തൃ നമ്പറും – Indane നല്കുന്ന ഒരു തനത് സവിശേഷ നമ്പര്- കാണിച്ചു. അതുമായി ബന്ധപ്പെട്ട ബാങ്ക് എക്കൌണ്ടുകളും വെളിപ്പെട്ടു എന്നു സെയ്നി പറയുന്നു. ZDNet കണ്ട സ്ക്രീന്ഷോട്ട് ഈ വ്യക്തികള് ഉപയോഗിയ്ക്കുന്ന ബാങ്ക് എക്കൌണ്ടുകള് ഏതെന്നു വെളിപ്പെടുത്തുന്നതായിരുന്നു-മറ്റ് ബാങ്കിംഗ് വിവരങ്ങള് കണ്ടില്ലെങ്കിലും.
ഇതുതന്നെ UIDAI-യുടെ ട്വീറ്റിനെ – “ആധാര് വിവരശേഖരം ബാങ്ക് എക്കൌണ്ടുകള് സംബന്ധിച്ച ഒരു വിവരവും സൂക്ഷിക്കുന്നില്ല,” ചോദ്യം ചെയ്യുന്നതാണ്.
അതേ ദിവസം ഇലക്ട്രോണിക്സ്, വിവര സാങ്കേതിക വകുപ്പ് മന്ത്രി രവിശങ്കര് പ്രസാദിന്റെ ട്വീറ്റില് പറയുന്നു, “ആധാര് നിങ്ങളുടെ ബാങ്ക് എക്കൌണ്ട് വിവരങ്ങള് സൂക്ഷിക്കുന്നില്ല” എന്ന്.
സേവന ദാതാവിന്റെ ഉപഭോക്താക്കളുടെ വിവരങ്ങള് മാത്രമല്ല ഇത് നല്കിയത്. മറ്റ് സേവനദാതാക്കളുമായി ബന്ധമുള്ള ആധാര് ഉടമകളുടെ വിവരങ്ങളും API നല്കി.
“ഈ വിവരങ്ങള് ഏതെങ്കിലും പരിമിത വിവര ശേഖരത്തില് നിന്നല്ല, നിരന്തരം പുതുക്കുന്ന- 2014 മുതല് 2017 പകുതി വരെ- ഒന്നില് നിന്നാണെന്ന് കണ്ടു,” സൈനി പറയുന്നു. “UIDAI ആണോ ഈ വിവരങ്ങള് (സേവന ദാതാവിന്) നല്കുന്നത് എന്നോ അതോ ബാങ്കുകളോ, ഗാസ് കമ്പനികളോ ആണോ എന്ന് എനിക്ക് ഊഹിച്ചു പറയാനാകില്ല. പക്ഷേ, എല്ലാവരുടെയും വിവരങ്ങള് ലഭ്യമാണ്, ഒരു ആധികാരിക അനുമതിയുമില്ലാതെ-എണ്ണത്തില് ഒരു പരിധിയുമില്ലാതെ.”
2014-ലെ പൊതുതെരഞ്ഞെടുപ്പിന് ഒരു മാസം മുമ്പ് നരേന്ദ്ര മോദി ഈ വിവരശേഖരത്തിന്റെ സുരക്ഷയെക്കുറിച്ച് ചോദ്യങ്ങള് ഉയര്ത്തി.
“ആധാറിനെ സംബന്ധിച്ചു ഞാന് കണ്ട സംഘത്തിനോ പ്രധാനമന്ത്രിക്കോ അതുയര്ത്തുന്ന സുരക്ഷാ പ്രശ്നങ്ങളെക്കുറിച്ചുള്ള എന്റെ ചോദ്യങ്ങള്ക്ക് ഉത്തരമ്മുണ്ടായിരുന്നില്ല. ഒരു കാഴ്ച്ചപ്പാടുമില്ല, രാഷ്ട്രീയ തട്ടിപ്പ് മാത്രമാണ്,” മോദി ഒരു ട്വീറ്റില് പറഞ്ഞു.
ഇപ്പോള് അയാളുടെ സര്ക്കാര് ഈ തിരിച്ചറിയല് സംവിധാനത്തെ സുപ്രീം കോടതിയില് ന്യായീകരിക്കുകയാണ്. വ്യക്തിത്വ വിവര മോഷണമാണ് UIDAI-യും ആധാര് ഉടമകളും നേരിടുന്ന വലിയ പ്രശ്നമെന്ന് ഏറെ നാളായി കരുതിയിരുന്നു. ആധാര് നമ്പറുകള് SIM കാര്ഡുകളുമായി ബന്ധപ്പെടുത്തിയത് പണം തട്ടിപ്പിനും മറ്റും വഴിവെച്ചു എന്നും വാര്ത്തകള് വന്നു. നേരത്തെ ട്രിബ്യൂണ് ദിനപത്രവും ആധാര് വിവരങ്ങള് ചോരുന്നത് സംബന്ധിച്ച വാര്ത്ത പുറത്തുവിട്ടിരുന്നു.
കൂടുതല് വായിക്കാന്: https://goo.gl/g4DZCH