ഭീം-യു.പി.ഐ പേയ്മെന്റ് സംവിധാനത്തില് വന് ഡാറ്റാ ചോര്ച്ച പുറത്തുവന്നത് കഴിഞ്ഞ ദിവസമാണ്. ലക്ഷക്കണക്കിന് ഉപഭോക്തക്കളുടെ അതിപ്രധാന വിവരങ്ങളാണ് ചോര്ന്നതെന്നാണ് റിപ്പോര്ട്ടില് പറയുന്നത്. ആധാര്, ഐ.ഡി പ്രൂഫുകള്, ബയോമെട്രിക്ക് വിവരങ്ങള് (ഫിംഗര് പ്രിന്റ് സ്കാന്, ഫോട്ടോ തുടങ്ങിയവ) ഉള്പ്പടെ ചോര്ന്നുവെന്നാണ് റിപ്പോര്ട്ട് വ്യക്തമാക്കുന്നത്.
ലോകത്തിലെ ഏറ്റവും വലിയ വി.പി.എന്. റിവ്യൂ ടീം ആയ വി.പി.എന്.മെന്റര് ആണ് ഈ വന് സുരക്ഷാ വീഴ്ച കണ്ടെത്തിയത്. ഭിം-യു.പി.ഐ. പ്രൊമോഷനു വേണ്ടി ഇന്ത്യ ഗവണ്മെന്റ് തയ്യാറാക്കിയ സി.എസ്.സി.ഭിം (www.cscbhim.in) എന്ന വെബ്സൈറ്റില് നിന്നുമാണ് വിവര ചോര്ച്ച ഉണ്ടായിരിക്കുന്നത്.
ലക്ഷക്കണക്കിന് ആളുകളുടെ വിവരങ്ങള് ഉള്ക്കൊള്ളുന്ന 409 ജിഗാബൈറ്റ് ഡാറ്റ, സൈബര് സുരക്ഷയുടെ പ്രാഥമിക പാഠങ്ങള് പോലും മറന്നുകൊണ്ടു കൈകാര്യം ചെയ്തതാണ് ചോര്ച്ചയ്ക്ക് കാരണമായത്.
പണരഹിത ഇടപാടുകള് പ്രോത്സാഹിപ്പിക്കുന്നതിന് 2016-ല് ഇന്ത്യാ ഗവണ്മെന്റ് ആവിഷ്കരിച്ച ഭിം, ബാങ്ക് അക്കൗണ്ടുകള് തമ്മിലും ഈ-വ്യാപാരത്തിനും മൊബൈല് ഫോണില് നിന്ന് പണമിടപാടുകള് സാധ്യമാക്കുന്ന സംവിധാനമാണ്. നാഷണല് പേയ്മെന്റ് കോര്പ്പറേഷന് ഓഫ് ഇന്ത്യയുടെ (NPCI) യു.പി.ഐ സാങ്കേതത്തിലൂടെയാണ് ഇടപാടുകള് നടത്തുന്നത്.
എല്ലാ ബാങ്ക് അക്കൗണ്ട് ഉടമകള്ക്കും തങ്ങളുടെ മൊബൈല് നമ്പറുമായി ബന്ധിപ്പിച്ച് ഒരു ഐ.ഡി. നല്കികൊണ്ടാണ് ഇതു പ്രവര്ത്തിക്കുന്നത്. വ്യക്തികള് തമ്മിലോ, വ്യാപാര സ്ഥാപനങ്ങള് തമ്മിലോ, വ്യക്തികളും വ്യാപാര സ്ഥാപനങ്ങളും തമ്മിലോ പണമിടപാടുകള് നടത്താം.
സി.എസ്.ഇ.-ഇ-ഗവര്ണന്സ് സര്വീസ് ലിമിറ്റഡ് എന്ന കമ്പനിയും ഇന്ത്യാ ഗവണ്മെന്റും ചേര്ന്നൊരുക്കിയ വെബ്സൈറ്റില് ആണ് ഇപ്പോള് സുരക്ഷാ വീഴ്ച ഉണ്ടായിരിക്കുന്നത്. വിവരങ്ങള് ശേഖരിച്ചു സൂക്ഷിച്ചിരുന്നത് ആമസോണ് വെബ് സര്വീസിന്റെ എസ് 3 ബക്കറ്റില് ആണ്.
ആമസോണ് വെബ് സര്വീസിന്റെ ഈ സേവനം ഉപയോഗപ്പെടുത്തുന്ന സ്ഥാപനങ്ങള് അവരുടെ അക്കൗണ്ടില് ആവശ്യമായ സുരക്ഷാമാനകങ്ങള് ഒരുക്കേണ്ടതുണ്ട്. എന്നാല് ഇവിടെ സി.എസ്.സി.-ഭീം എന്ന അക്കൗണ്ടില് അത്തരത്തിലുള്ള യാതൊരു മുന്കരുതലുകളും ഉണ്ടായിരുന്നില്ല. എന്ക്രിപ്ഷനോ മറ്റു സുരക്ഷാ പ്രോട്ടോകോളുകളോ ഒന്നും സ്വീകരിച്ചിരുന്നില്ല. സുരക്ഷ സംബന്ധിച്ച ആമസോണിന്റെ മാര്ഗനിര്ദേശങ്ങളും പാലിച്ചിരുന്നില്ല.
രാജ്യത്തെമ്പാടും ഭീം-യു.പി.ഐ. പ്രചാരണത്തിന് രൂപകല്പ്പന ചെയ്ത ഈ വെബ്സൈറ്റില് ലക്ഷക്കണക്കിന് വ്യാപാരികളാണ് രജിസ്റ്റര് ചെയ്തിരുന്നത്. കച്ചവടക്കാര്, സേവനദാതാക്കള്, പ്ലംബര്മാര്, കര്ഷകര്, മെക്കാനിക്കുകള് എന്നിങ്ങനെ നിരവധി ആളുകള്. 2019 ഫെബ്രുവരി മാസം മുതലുള്ള വിവരങ്ങളാണ് പ്രസ്തുത എ.ഡബ്ല്യു.എസ്.- എസ്.3 ബക്കറ്റില് ഉള്ളതെങ്കിലും അതു തന്നെ 70 ലക്ഷത്തിലേറെ വിവരങ്ങള് വരും.
സ്കാന് ചെയ്ത ആധാര് ലെറ്ററുകള്, ജാതി സര്ട്ടിഫിക്കറ്റുകള്, ഫോട്ടോകള്, വിദ്യാഭ്യാസ രേഖകളും സര്ട്ടിഫിക്കറ്റുകളും, പണമിടപാടുകളുടെ തെളിവായി സൂക്ഷിച്ച സ്ക്രീന് ഷോട്ടുകള്, പാന് കാര്ഡ്, പേര്, വിലാസം, ജനനത്തിയത്തി, ബയോമെട്രിക്ക് വിവരങ്ങള്, വിരലടയാള സ്കാന്, തിരിച്ചറിയല് രേഖകള്, നമ്പറുകള് തുടങ്ങി നിരവധി വിവരങ്ങളാണ് പുറത്തായത്.
കൂടാതെ വ്യക്തിഗത ഉപഭോക്താക്കളുടെയും വ്യാപാരികളുടെയും പേരും വിലാസവും ഫോണ് നമ്പറും യു.പി.ഐ. ഐ.ഡി.യുമൊക്കെ ഉള്പ്പെടുന്ന സി.എസ്.വി. ഫയലുകളും ഉണ്ടായിരുന്നു.
ചോര്ന്നവയില് 18 വയസില് താഴെയുള്ള കുട്ടികളുടെയടക്കം വിവരങ്ങള് ഉണ്ടായിരുന്നുവെന്നത് ഇതുപയോഗിച്ചുള്ള തട്ടിപ്പുകളുടെ സാധ്യത കൂട്ടുന്നു. ക്രിമിനല് ഹാക്കര്മാരുടെ കൈയ്യില് ഒരു ബാങ്കിന്റെ മുഴുവന് വിവരശേഖരം മുഴുവന് ലഭിക്കുന്നതിന് സമാനമായ പ്രശ്നങ്ങളാണ് ഇത് ഉണ്ടാക്കുന്നത്.
തട്ടിപ്പിന്റെ ചില സാധ്യതകള് ലഘുവായി വിവരിക്കാം:
1. വ്യക്തിത്വ അപഹരണം (Identity Theft): ഇതില് ലഭ്യമായ തിരിച്ചറിയല് വിവരങ്ങള് ഉപയോഗിച്ച് മറ്റൊരാളുടെ പേരില് ബാങ്ക് അക്കൗണ്ട് തുടങ്ങാം, ഇടപാടുകള് നടത്താം, കമ്പനി രജിസ്റ്റര് ചെയ്യാം, നിയമവിരുദ്ധമായ സാധാനങ്ങള് വാങ്ങാം, കുറ്റകൃത്യങ്ങള് ചെയ്യാം…
2. നികുതി തട്ടിപ്പുകള്: മറ്റൊരാളുടെ നികുതി വിവരങ്ങള് ഉപയോഗിച്ച്, തെറ്റായ കണക്കുകള് സമര്പ്പിക്കാം
3. മോഷണം: ഭിം വിവരങ്ങള് ഉപയോഗിച്ച് പണം തട്ടിയെടുക്കാനും ബാങ്ക് അക്കൗണ്ടിന്റെ നിയന്ത്രണം കൈവശപ്പെടുത്താനും കഴിഞ്ഞേക്കാം.
4. വ്യാപാരികളുടെയും സുഹൃത്തുക്കളുടെയും ഐ.ഡികള്ക്ക് സമാനമായ ഐ.ഡികളും മറ്റും ഉണ്ടാക്കുക വഴി ആപ്പുകള് മുഖേന പണം തട്ടാനുള്ള സാധ്യതയുണ്ട്.
സൈബര് സുരക്ഷാ സാക്ഷരത ദയനീയമായ നിലയില് ഉള്ള നമ്മുടെ നാട്ടില് ഇതിന്റെ പ്രത്യാഘാതങ്ങള് പ്രവചനാതീതമാണ്. 70 ലക്ഷം ആളുകളില് ഒരു ചെറിയ ശതമാനത്തെ മാത്രം ലക്ഷ്യം വച്ചാല് മതി വലിയ സാമ്പത്തിക തട്ടിപ്പുകള് നടത്തുവാന്.
എസ്.3 ബക്കറ്റ് ആക്സസ് ലഭിക്കുന്ന ക്രിമിനലുകള് ഭിം-ന്റെ മുഴുവന് വിവര-വിശകലന-സംവിധാനത്തെയും അപകടപ്പെടുത്തുന്ന അപകടകരമായ സോഫ്റ്റ്വെയറുകള് ഉപയോഗിച്ച് തകര്ക്കാനും മതി.
സുരക്ഷാപ്രശ്നം കണ്ടെത്തിയതിനെത്തുടര്ന്ന് വി.പി.എന്. മെന്റേഴ്സ് ആദ്യം സി.എസ്.സി.യെ സമീപിച്ചുവെങ്കിലും പ്രതികരണം ഒന്നുമുണ്ടായില്ലത്രേ. അതേതുടര്ന്ന് ഏപ്രില് 28-ന് അവര് CERT-in (Computer Emergency Response Team)-നെ സമീപിച്ചു. അങ്ങനെ മേയ് മാസം 22-ഓട് കൂടി പ്രശ്നം പരിഹരിക്കപ്പെട്ടു എന്നാണ് റിപ്പോര്ട്ട്.
ഒരു വിവര സുരക്ഷാ/ സ്വകാര്യതാ നിയമം പോലുമില്ല നമ്മുടെ രാജ്യത്ത്. ഇവിടെ ഇത്രമേല് ഗുരുതരമായ വീഴ്ചകളെ എങ്ങനെയാണ് കൈകാര്യം ചെയ്യാനാകുക എന്നത് ഒരു ചോദ്യചിഹ്നമാണ്. സ്വകാര്യതാ നിയമവും വിവരസുരക്ഷയ്ക്കും സ്വകാര്യതാ സംരക്ഷണത്തിനും വേണ്ടിയുള്ള സമഗ്രമായ ചട്ടക്കൂടും എത്രമാത്രം അനിവാര്യമാണ് എന്നത് ഒരിക്കല് കൂടി അടിവരയിട്ടു പറയുകയാണ് ഈ സംഭവവികാസം.
ഡൂള്ന്യൂസിനെ നിങ്ങള്ക്കും സാമ്പത്തികമായി പിന്തുണയ്ക്കാം. ഇവിടെ ക്ലിക്ക് ചെയ്യൂ
ഡൂള്ന്യൂസിനെ ഫേസ്ബുക്ക്, ടെലഗ്രാം, ഹലോ പേജുകളിലൂടെയും ഫോളോ ചെയ്യാം. വീഡിയോ സ്റ്റോറികള്ക്കായി ഞങ്ങളുടെ യൂട്യൂബ് ചാനല് സബ്സ്ക്രൈബ് ചെയ്യുക