بھارتی حکومت کے بادل نے شہریوں کا ذاتی ڈیٹا برسوں سے آن لائن پھیلایا

ہندوستانی حکومت نے آخر کار ایک برسوں سے جاری سائبرسیکیوریٹی کے مسئلے کو حل کر لیا ہے جس نے اپنے شہریوں کے بارے میں حساس ڈیٹا کو بے نقاب کیا تھا۔ ایک سیکیورٹی محقق نے خصوصی طور پر TechCrunch کو بتایا کہ اسے شہریوں کی ذاتی معلومات پر مشتمل کم از کم سیکڑوں دستاویزات ملی ہیں — جن میں آدھار نمبر، COVID-19 ویکسینیشن ڈیٹا، اور پاسپورٹ کی تفصیلات شامل ہیں — جو کسی کے بھی رسائی کے لیے آن لائن پھیل رہی ہیں۔

غلطی میں ہندوستانی حکومت کی کلاؤڈ سروس تھی، جسے S3WaaS کہا جاتا ہے، جسے ہندوستانی حکومت کی ویب سائٹس کی تعمیر اور میزبانی کے لیے “محفوظ اور توسیع پذیر” نظام کے طور پر بل دیا جاتا ہے۔

سیکیورٹی ریسرچر سوراجیت مجمدر نے ٹیک کرنچ کو بتایا کہ انہیں 2022 میں ایک غلط کنفیگریشن کا پتہ چلا جو S3WaaS پر محفوظ شہریوں کی ذاتی معلومات کو کھلے انٹرنیٹ پر ظاہر کر رہا تھا۔ چونکہ نجی دستاویزات کو نادانستہ طور پر پبلک کر دیا گیا تھا، سرچ انجنوں نے بھی دستاویزات کو انڈیکس کیا، جس سے کسی کو بھی حساس نجی شہریوں کے ڈیٹا کے لیے انٹرنیٹ پر فعال طور پر تلاش کرنے کی اجازت دی گئی۔

ڈیجیٹل حقوق کی تنظیم انٹرنیٹ فریڈم فاؤنڈیشن کے تعاون سے، مجمدر نے اس وقت ہندوستان کی کمپیوٹر ایمرجنسی رسپانس ٹیم، جسے CERT-In کے نام سے جانا جاتا ہے، اور ہندوستانی حکومت کے نیشنل انفارمیٹکس سینٹر کو اس واقعے کی اطلاع دی۔

CERT-In نے فوری طور پر اس مسئلے کو تسلیم کیا، اور عوامی سرچ انجنوں سے حساس فائلوں پر مشتمل لنکس کو ہٹا دیا گیا۔

لیکن مجمدار نے کہا کہ اعداد و شمار کے پھیلاؤ کے بارے میں بار بار انتباہات کے باوجود، ہندوستانی حکومت کی کلاؤڈ سروس ابھی بھی کچھ افراد کی ذاتی معلومات کو ظاہر کر رہی ہے جیسا کہ حال ہی میں پچھلے ہفتے۔

نجی ڈیٹا کی مسلسل نمائش کے ثبوت کے ساتھ، مجمدر نے TechCrunch سے بقیہ ڈیٹا کو محفوظ کرنے میں مدد کے لیے کہا۔ مجمدر نے کہا کہ 2022 میں پہلی بار غلط کنفیگریشن کا انکشاف کرنے کے بعد کچھ شہریوں کا حساس ڈیٹا آن لائن پھیلنا شروع ہوا۔

TechCrunch نے کچھ بے نقاب ڈیٹا کی اطلاع CERT-In کو دی۔ مجمدر نے تصدیق کی کہ وہ فائلیں اب عوامی طور پر قابل رسائی نہیں ہیں۔

اشاعت سے پہلے پہنچ جانے پر، CERT-In نے TechCrunch کو سیکورٹی لیپس کی تفصیلات شائع کرنے پر اعتراض نہیں کیا۔ نیشنل انفارمیٹکس سینٹر اور S3WaaS کے نمائندوں نے تبصرہ کی درخواست کا جواب نہیں دیا۔

مجمدر نے کہا کہ اس ڈیٹا لیک کی صحیح حد کا درست اندازہ لگانا ممکن نہیں ہے، لیکن انہوں نے متنبہ کیا کہ امریکی حکام کی جانب سے اسے بند کرنے سے پہلے برے اداکار مبینہ طور پر سائبر کرائم فورم پر ڈیٹا فروخت کر رہے تھے۔ CERT-In یہ نہیں بتائے گا کہ آیا برے اداکاروں نے بے نقاب ڈیٹا تک رسائی حاصل کی۔

مجمدر نے کہا کہ بے نقاب ڈیٹا شہریوں کو شناخت کی چوری اور گھوٹالوں کے خطرے میں ڈالتا ہے۔

“اس کے علاوہ، جب صحت کی حساس معلومات جیسے COVID ٹیسٹ کے نتائج اور ویکسین کے ریکارڈ سامنے آتے ہیں، تو یہ صرف ہماری طبی رازداری ہی نہیں ہے جس سے سمجھوتہ کیا جاتا ہے – یہ امتیازی سلوک اور سماجی مسترد ہونے کے خدشات کو جنم دیتا ہے،” انہوں نے کہا۔

مجمدر نے نوٹ کیا کہ یہ واقعہ “سیکیورٹی اصلاحات کے لیے جاگنے کی کال” ہونا چاہیے۔