COWIN Data Leak: કોવીન ડેટા લીક મામલે શા માટે સરકારી નિવેદન તેના જવાબો કરતાં વધુ પ્રશ્નો ઉભા કરે છે?

આરોગ્ય મંત્રાલયે સોમવારે સાંજે એક અખબારી યાદી બહાર પાડી હતી જ્યાં તેણે ટેલિગ્રામ બોટ દ્વારા ઉપયોગમાં લેવાતા CoWIN ના API (એપ્લિકેશન પ્રોગ્રામિંગ ઈન્ટરફેસ માટે ટૂંકું કે જે બે એપ્લિકેશનને એકબીજા સાથે ડેટા શેર કરવામાં મદદ કરે છે એનો અનિવાર્યપણે ઇનકાર કર્યો હતો . સરકારના જવાબો તેમના જવાબો કરતાં વધુ પ્રશ્નો ઉભા કરે છે.

કેન્દ્રનો બચાવ

સ્વાસ્થ્ય મંત્રાલયની અખબારી યાદી પ્રથમ ત્રણ રીતો દર્શાવે છે જેમાં CoWIN પરના ડેટાને એક્સેસ કરી શકાય છે: 1) યુઝર્સ તેમના મોબાઈલ નંબર પર મોકલવામાં આવેલા વન ટાઈમ પાસવર્ડ (OTP) દ્વારા પોર્ટલ પર તેમનો ડેટા એક્સેસ કરી શકે છે, 2) વેક્સિનેટર વ્યક્તિના ડેટાને ઍક્સેસ કરી શકે છે, અને જ્યારે પણ “અધિકૃત” વપરાશકર્તા સિસ્ટમને ઍક્સેસ કરે છે ત્યારે CoWIN સિસ્ટમ ટ્રેક કરે છે અને રેકોર્ડ કરે છે, અને 3) તૃતીય પક્ષ એપ્લિકેશન કે જેને CoWIN API ની અધિકૃત ઍક્સેસ પ્રદાન કરવામાં આવી હોય તે OTP પછી રસી કરાયેલા લોકોના વ્યક્તિગત પ્રમાણીકરણ સ્તરના ડેટાને ઍક્સેસ કરી શકે છે.

આ પણ વાંચો: COWIN Data Leak : કોવિન ડેટા લીક મામલે વિપક્ષે તપાસની માંગ કરી, ‘અગાઉના ઉલ્લંઘન’ પર મંત્રીને કર્યા સવાલો

પછી તે દાવો કરે છે કે OTP વિના, ડેટા ટેલિગ્રામ બોટ સાથે શેર કરી શકાતો નથી. કેટલાક અહેવાલોમાં જણાવાયું હતું કે બોટમાં લોકોની જન્મતારીખ પણ દર્શાવવામાં આવી હતી, પરંતુ મંત્રાલયે જણાવ્યું હતું કે CoWIN માત્ર તેમના જન્મનું વર્ષ એકત્રિત કરે છે અને CoWIN પર વ્યક્તિનું સરનામું મેળવવાની કોઈ જોગવાઈ નથી.

તેણે એમ પણ કહ્યું કે એક એપીઆઈ છે જેમાં માત્ર મોબાઈલ નંબરનો ઉપયોગ કરીને ડેટા શેર કરવાની સુવિધા છે. “જો કે, આ API પણ ખૂબ જ ચોક્કસ છે અને વિનંતીઓ ફક્ત વિશ્વસનીય API દ્વારા જ સ્વીકારવામાં આવે છે જેને CoWIN એપ્લિકેશન દ્વારા વ્હાઇટલિસ્ટ કરવામાં આવી છે”.

ચંદ્રશેખરે એક ટ્વીટમાં જણાવ્યું હતું કે CERT-In એ કથિત ભંગની સમીક્ષા કરી હતી અને ટેલિગ્રામ બોટ દ્વારા એક્સેસ કરવામાં આવેલ ડેટા “થ્રેટ એક્ટર ડેટાબેઝ”માંથી હતો. તેમણે કહ્યું કે ડેટાબેઝ “અગાઉના ભંગ કરાયેલા ડેટાથી ભરાયેલો હોય તેવું લાગે છે”, જે CoWIN સાથે સંબંધિત નથી. “એવું લાગતું નથી કે CoWIN એપ્લિકેશન અથવા ડેટાબેઝનો સીધો ભંગ કરવામાં આવ્યો છે.”

પરંતુ શું કોઈ બ્રીચ થયો હતો?

મંત્રાલયે સ્પષ્ટપણે સ્પષ્ટ કર્યું નથી કે તાજેતરમાં કે ભૂતકાળમાં CoWIN ડેટાબેઝનો ભંગ થયો હતો કે નહીં.

તેની સંપૂર્ણ સમજૂતી એ હકીકત પર આધારિત છે કે CoWIN ની સિસ્ટમને ઍક્સેસ કરવાનો એકમાત્ર રસ્તો કાં તો OTP દ્વારા અથવા રસીકરણ કરનાર દ્વારા છે જેની ઍક્સેસ લોગ થયેલ છે. જ્યારે મંત્રાલયે જણાવ્યું હતું કે તેની પાસે CoWIN ના ડેટાબેઝને સુરક્ષિત કરવા માટે પર્યાપ્ત સુરક્ષા પગલાં છે, ત્યારે તેણે ક્યારેય કહ્યું નથી કે ડેટાબેઝને અસર થઈ નથી. આ માત્ર એવી શક્યતાને છોડી દે છે કે ટેલિગ્રામ બોટ વાસ્તવિક સમયમાં CoWIN માંથી ડેટાને સ્ક્રેપ કરી રહ્યો ન હતો.

મંત્રાલયના નિવેદનમાં ટેલિગ્રામ બોટ ચોક્કસ ફોન નંબર સાથે જોડાયેલા નાગરિકોના ડેટાને ચોક્કસ રીતે પુનઃપ્રાપ્ત કરવામાં સક્ષમ હતું અને રસીકરણના સ્થળ સહિત CoWIN ડેટાબેઝ માટે શા માટે વિશિષ્ટ હતી તે દાવાઓ સામે કોઈ આંતરદૃષ્ટિ પ્રદાન કરતું નથી. , ID વપરાયેલ વગેરે.

પછી, મંત્રાલયે સ્વીકાર્યું છે કે ઓછામાં ઓછું એક API છે જેના માટે ડેટા શેરિંગ માટે OTP ની આવશ્યકતા નથી. જ્યારે આ API ફક્ત “વિશ્વસનીય API” ની વિનંતીઓ સ્વીકારે છે જે CoWIN સિસ્ટમ દ્વારા “વ્હાઇટલિસ્ટેડ” કરવામાં આવી છે, ત્યાં કોઈ સ્પષ્ટતા નથી કે આ વિશ્વસનીય API શું કરે છે અને તેને સમગ્ર OTP મિકેનિઝમને બાયપાસ કરવાનો વિશેષાધિકાર શા માટે આપવામાં આવ્યો છે.

આ પણ વાંચો: India Inflation IIP : ભારતમાં મોંઘવારી દર 25 મહિનાને તળિયે, એપ્રિલમાં ઔદ્યોગિક ઉત્પાદન આંક વધીને 4.25 ટકા થયો

આ ઉપરાંત, મંત્રાલયને આ મુદ્દા પર CERT-In તરફથી ઘટના અંગેનો અંતિમ અહેવાલ પ્રાપ્ત કરવાનો બાકી છે. આથી, જ્યાં સુધી CERT-In તેના રિપોર્ટમાં સ્પષ્ટપણે જણાવે નહીં ત્યાં સુધી ઉલ્લંઘનને નકારી કાઢવું ​​અકાળ ગણાશે.

𝗖𝗢𝗪𝗜𝗡 𝗗𝗮𝘁𝗮 𝗕𝗿𝗲𝗮𝗰𝗵 #CoWIN portal of Health Ministry @MoHFW_INDIA is Completely Safe with safeguards for Data Privacy.

Adequate Security Measures are in place on Co-WIN portal, with Web Application Firewall, Anti-DDoS, SSL/TLS, regular vulnerability assessment,…

— Ministry of Health (@MoHFW_INDIA) June 12, 2023

જો કોઈ સરકારના બીજા તર્કને ધ્યાનમાં લઈએ કે ટેલિગ્રામ બોટ જે ડેટાબેઝનો ઉપયોગ કરી રહ્યો હતો તે અગાઉના ઉલ્લંઘનોમાં લીક થયેલી માહિતી સાથે તૈયાર કરવામાં આવ્યો હતો, તે પણ કેટલીક ચિંતાઓ ઊભી કરે છે.

તેમાંથી મુખ્ય વ્યક્તિના મોબાઇલ નંબરને અનુરૂપ આધારની વિગતો છે – સરકારે ક્યારેય જાહેરમાં સ્વીકાર્યું નથી કે આધાર ડેટા ક્યારેય હેક થયો છે કે નહીં. હકીકતમાં, 2018 માં, ભૂતપૂર્વ IT પ્રધાન રવિશંકર પ્રસાદે સંસદમાં કહ્યું હતું કે આધારની સુરક્ષા “અબજોના પ્રયત્નોથી પણ તોડી શકાતી નથી” . તે અસ્પષ્ટ છે કે બોટ લોકોના આધાર નંબર તેમના મોબાઇલ નંબરને અનુરૂપ કેવી રીતે ચોક્કસ રીતે પ્રદર્શિત કરી શકે છે.

આગામી પગલાં

આરોગ્ય મંત્રાલયે CERT-In ને આ મુદ્દા પર ધ્યાન આપવા અને અંતિમ રિપોર્ટ સબમિટ કરવા કહ્યું છે. ચંદ્રશેખરે કહ્યું કે નેશનલ ડેટા ગવર્નન્સ પોલિસીને અંતિમ સ્વરૂપ આપવામાં આવ્યું છે જે તમામ સરકારમાં ડેટા સ્ટોરેજ, એક્સેસ અને સુરક્ષા ધોરણોનું એક સામાન્ય માળખું બનાવશે. આ મુદ્દે CERT-In ને મોકલવામાં આવેલ પ્રશ્નોનો જવાબ મળ્યો નથી.