डेली अपडेट्स

बड़े पैमाने पर आधार डेटा उल्लंघन

• 14 Nov 2023
• 14 min read

प्रिलिम्स के लिये: बड़े पैमाने पर आधार डेटा उल्लंघन, आधार, UIDAI, व्यक्तिगत रूप से पहचान योग्य जानकारी (PII), साइबर हमला, डार्क वेब, डीप वेब, IT नियम (2021)। मेन्स के लिये: व्यापक आधार डेटा उल्लंघन, सरकारी नीतियाँ एवं विभिन्न क्षेत्रों में विकास के लिये हस्तक्षेप तथा उनके डिज़ाइन और कार्यान्वयन से उत्पन्न होने वाले मुद्दे।

स्रोत: द हिंदू

चर्चा में क्यों?

हाल ही में अमेरिकी साइबर सुरक्षा कंपनी, रिसिक्योरिटी ने कहा कि आधार संख्या और पासपोर्ट विवरण सहित 815 मिलियन भारतीय नागरिकों की व्यक्तिगत रूप से पहचान योग्य जानकारी (Personally Identifiable Information- PII) डार्क वेब पर बेची जा रही थी।

• डेटा बेचने की धमकी देने वाले अभिकर्त्ताओं ने दावा किया कि इसे भारतीय चिकित्सा अनुसंधान परिषद (Indian Council of Medical Research- ICMR) से प्राप्त किया गया था, जिस पर कई साइबर हमले के प्रयास किये गए तथा वर्ष 2022 में 6,000 घटनाएँ दर्ज की गईं।

डार्क वेब क्या है?

• डार्क वेब उन साइट्स को संदर्भित करता है जो अनुक्रमित नहीं हैं तथा केवल विशेष वेब ब्राउज़र के माध्यम से ही पहुँच योग्य हैं। डार्क वेब, डीप वेब का एक छोटा-सा हिस्सा है।
• हमारे महासागर और हिमखंड दृश्य का उपयोग करते हुए डार्क वेब जलमग्न हिमखंड का निचला सिरा होगा।
• डार्क वेब इंटरनेट का एक छिपा हुआ भाग है तथा केवल विशेष सॉफ्टवेयर, कॉन्फिगरेशन या प्राधिकरण का उपयोग करके ही इसे एक्सेस किया जा सकता है, जिससे यह इंटरनेट का एक ऐसा क्षेत्र बन जाता है जो औसत उपयोगकर्त्ता के लिये आसानी से उपलब्ध नहीं है।

व्यक्तिगत पहचान योग्य जानकारी क्या है तथा धमकी देने वाले अभिकर्त्ताओं को संवेदनशील डेटा तक किस प्रकार पहुँच प्राप्त हुई?

• व्यक्तिगत पहचान योग्य जानकारी (PII):
  • PII वह जानकारी है जिसे अकेले या अन्य प्रासंगिक डेटा के साथ उपयोग करने पर किसी व्यक्ति की पहचान की जा सकती है।
  • PII पासपोर्ट जानकारी (Passport Information) या अर्द्ध-पहचानकर्त्ता (Quasi-Identifiers) ऐसे प्रत्यक्ष पहचानकर्त्ता हो सकते हैं जिन्हें किसी व्यक्ति की सफलतापूर्वक पहचान के लिये अन्य जानकारी के साथ जोड़ा जा सकता है।
• संवेदनशील डेटा तक पहुँच:
  • डार्क वेब पर बिक्री के लिये चुराए गए डेटा की पेशकश करने वाले धमकी देने वाले अभिकर्ताओं ने यह बताने से इनकार कर दिया कि उन्होंने डेटा कैसे प्राप्त किया, जिससे आगे की जानकारी के बिना डेटा लीक के स्रोत को इंगित करना असंभव हो गया।
  • ऑनलाइन डेटा बेचते हुए पाए गए दूसरे अभिकर्ता लूसियस ने दावा किया कि उसकी पहुँच लीक हुए 1.8 टेराबाइट डेटा तक है, जो किसी अज्ञात "भारत आंतरिक कानून प्रवर्तन एजेंसी" को प्रभावित कर सकता है। हालाँकि दावे की पुष्टि होना अभी बाकी है।
  • शोधकर्त्ताओं द्वारा देखे गए डेटा नमूनों में भारतीय विशिष्ट पहचान प्राधिकरण(UIDAI) तथा आधार कार्ड सहित मतदाता पहचान पत्र के कई संदर्भ शामिल हैं। एक और संभावना यह है कि धमकी देने वाले अभिकर्त्ता ऐसे किसी तीसरे पक्ष की प्रणाली में सेंध लगाने में सफल रहे जिनके पास संबद्ध डेटा एकत्रित था।
• लीक हुए डेटा से संबंधित खतरे:
  • रिसिक्योरिटी के एक सर्वेक्षण के अनुसार, भारत विश्व की सबसे तेज़ी से बढ़ती अर्थव्यवस्थाओं में से एक है तथा वर्ष 2023 की पहली छमाही में सभी मैलवेयर का पता लगाने में विश्व स्तर पर चौथे स्थान पर है।
  • पश्चिम एशिया में अशांति एवं अराजकता का फायदा उठाने वाले खतरनाक तत्त्वों  द्वारा किये गए हमलों में वृद्धि ने व्यक्तिगत रूप से पहचाने जाने योग्य डेटा को काफी हद तक उजागर कर दिया है, जिससे डिजिटल पहचान योग्य जानकारी की चोरी का खतरा बढ़ गया है।
  • धमकी देने वाले अभिकर्त्ता ऑनलाइन-बैंकिंग चोरी, कर धोखाधड़ी और अन्य साइबर-सक्षम वित्तीय अपराधों को अंजाम देने के लिये चोरी की गई पहचान योग्य जानकारी का इस्तेमाल कर सकते हैं।

डेटा उल्लंघन के विगत मामले:

• वर्ष 2018, 2019 और 2022 में भी आधार डेटा के लीक होने की सूचना मिली थी, जिसमें बड़े पैमाने पर डेटा लीक के तीन मामले सामने आए थे, जिनमें से एक में PM किसान वेबसाइट पर संग्रहीत किसानों के डेटा को डार्क वेब पर उपलब्ध कराया गया था।
• इससे पहले वर्ष 2023 में रिपोर्टें सामने आईं कि मैसेजिंग प्लेटफॉर्म टेलीग्राम पर एक बॉट उन भारतीय नागरिकों का व्यक्तिगत डेटा चुरा रहा था, जिन्होंने कोविड-19 वैक्सीन इंटेलिजेंस नेटवर्क (CoWIN) पोर्टल पर पंजीकरण कराया था।

आगे की राह

• UIDAI ने ‘मास्क्ड’ आधार का उपयोग करने की सिफारिश की, जो गोपनीयता और सुरक्षा को बढ़ाते हुए आधार संख्या के केवल अंतिम चार अंक प्रदर्शित करता है। 
• इसके अलावा जवाबदेही सुनिश्चित करने के लिये एक उच्चस्तरीय "पहचान समीक्षा समिति" के माध्यम से स्वतंत्र निरीक्षण फिर से शुरू करने हेतु आधार अधिनियम में संशोधन किया जाना चाहिये।
• सरकार को अनिवार्य आधार उपयोग को स्वीकार्य उद्देश्यों तक सीमित करना चाहिये और आधार प्रमाणीकरण विफल होने पर वैकल्पिक प्रमाणीकरण विधियाँ प्रदान करनी चाहिये।
• उपयोगकर्त्ता अपने आधार डेटा को UIDAI की वेबसाइट या मोबाइल एप के माध्यम से लॉक करके सुरक्षित रख सकते हैं।

सिविल सेवा परीक्षा, विगत वर्ष के प्रश्न   प्रश्न. निम्नलिखित कथनों पर विचार कीजिये: (2018) आधार कार्ड का उपयोग नागरिकता या अधिवास के प्रमाण के रूप में किया जा सकता हैै।   एक बार जारी होने के बाद आधार संख्या को जारीकर्त्ता प्राधिकारी द्वारा समाप्त या छोड़ा नहीं जा सकता है।  उपर्युक्त कथनों में से कौन-सा/से सही है/हैं? (a) केवल 1  (b) केवल 2  (c) 1 और 2 दोनों   (d) न तो 1 और न ही 2   उत्तर: (d) व्याख्या: आधार प्लेटफॉर्म सेवा प्रदाताओं को निवासियों की पहचान को सुरक्षित और त्वरित तरीके से इलेक्ट्रॉनिक रूप से प्रमाणित करने में मदद करता है, जिससे सेवा वितरण अधिक लागत प्रभावी एवं कुशल हो जाता है। भारत सरकार और UIDAI के अनुसार आधार नागरिकता का प्रमाण नहीं है।  हालाँकि UIDAI ने आकस्मिकताओं का एक सेट भी प्रकाशित किया है जो उसके द्वारा जारी आधार की अस्वीकृति के लिये उत्तरदायी है। मिश्रित या विषम बायोमेट्रिक जानकारी वाला आधार निष्क्रिय किया जा सकता है। आधार का लगातार तीन वर्षों तक उपयोग न करने पर भी उसे निष्क्रिय किया जा सकता है।  अतः विकल्प D सही है। प्रश्न. “ब्लॉकचेन टेक्नोलॉजी” के संदर्भ में निम्नलिखित कथनों पर विचार कीजिये:  (2020) यह एक सार्वजनिक बहीखाता है जिसका निरीक्षण हर कोई कर सकता है, लेकिन जिसे कोई एकल उपयोगकर्त्ता नियंत्रित नहीं करता है।  ब्लॉकचेन की संरचना और डिज़ाइन ऐसा है कि इसमें मौजूद सारा डेटा क्रिप्टोकरेंसी के बारे में ही होता है।  ब्लॉकचेन की बुनियादी सुविधाओं पर निर्भर एप्लीकेशन बिना किसी की अनुमति के विकसित किये जा सकते हैं। उपर्युक्त कथनों में से कौन-सा/से सही है/हैं? (a) केवल 1 (b) केवल 1 और 2 (c) केवल 2 (d) केवल 1 और 3 उत्तर: (d) मेन्स: प्रश्न. सरकार की दो समानांतर चलाई जा रही योजनाओं, अर्थात् ‘आधार कार्ड’ और ‘राष्ट्रीय जनसंख्या रजिस्टर’ (NPR) एक स्वैच्छिक तथा दूसरी अनिवार्य, ने राष्ट्रीय स्तर पर वाद-विवादों एवं मुकदमेबाज़ी को जन्म दिया है। गुण-अवगुणों के आधार पर चर्चा कीजिये कि क्या दोनों योजनाओं को साथ-साथ चलाना आवश्यकता है या नहीं है? इन योजनाओं के विकासात्मक लाभों और न्यायोचित संवृद्धि को प्राप्त करने की संभाव्यता का विश्लेषण कीजिये। (2014)