एक सरकारी संस्था के डेटा में इसे अब तक का सबसे बड़ा सेंध माना जा सकता है जिसमें लगभग 3 करोड़ रेलवे उपयोगकर्ताओं के व्यक्तिगत ब्योरे को एक हैकर ने डार्क वेब पर बिक्री के लिए रख दिया। हैकर ने दावा किया है कि इन विवरणों में कई सरकारी अधिकारियों और मशहूर हस्तियों के नाम, ईमेल, फोन नंबर और अन्य व्यक्तिगत जानकारी शामिल हैं।
हैकर ने उस कंपनी के नाम का खुलासा करने से इनकार कर दिया जिसके सर्वर में सेंध लगाई गई लेकिन उसने कहा कि यह भारत में सबसे बड़े रेलवे डेटाबेस में से एक है। इस बीच, रेल मंत्रालय ने हैकिंग की पुष्टि करते हुए कहा कि उसने संभावित डेटा उल्लंघन के बारे में भारतीय कंप्यूटर आपातकालीन प्रतिक्रिया टीम (सीईआरटी-इन) को सतर्क कर दिया था।
इसके अलावा, मंत्रालय ने दावा किया है कि डेटा उसकी टिकट इकाई, भारतीय रेलवे खानपान एवं पर्यटन निगम (आईआरसीटीसी) के सर्वर से जुड़ा नहीं है। रेलवे ने बयान में कहा है, ‘नमूना डेटा के विश्लेषण में पाया गया कि नमूना डेटा का पैटर्न आईआरसीटीसी के हिस्टरी एपीआई (ऐप्लिकेशन प्रोग्रामिंग इंटरफेस) से मेल नहीं खाता है। रिपोर्ट किए गए और संदिग्ध डेटा उल्लंघन आईआरसीटीसी सर्वर से नहीं है।’
डेटा में सेंध के मामले की गंभीरता को देखते हुए सरकार की परेशानी बढ़ती दिख रही है जिसकी वजह से आईआरसीटीसी के निजी टिकटिंग भागीदार भी कठघरे में आ गए हैं। अधिकारी ने कहा, ‘डेटा उल्लंघन को लेकर आगे की जांच आईआरसीटीसी द्वारा की जा रही है। आईआरसीटीसी के सभी कारोबारी साझेदारों से कहा गया है कि वे तुरंत इस बात की जांच करें कि क्या उनकी ओर से कोई डेटा लीक हुआ है और आईआरसीटीसी को सभी उपायों के नतीजे की जानकारी दें।’ सार्वजनिक क्षेत्र की इस कंपनी के निजी टिकट साझेदारों में एमेजॉन, पेटीएम जैसी बड़ी तकनीकी कंपनियां और मशहूर ऑनलाइन ट्रैवल पोर्टल जैसे कि मेकमाईट्रिप, रेलयात्री, गोइबिबो और ईजमाईट्रिप शामिल हैं।
आईआरसीटीसी के आंकड़ों के अनुसार, वित्त वर्ष 2021-22 में लगभग 43 करोड़ टिकटों की बुकिंग के लिए इस मंच का इस्तेमाल किया गया था, जिसमें लगभग 63 लाख रोजाना लॉग-इन होता है और इसकी ऑनलाइन सेवाओं के 8 करोड़ से अधिक उपयोगकर्ता थे। इसकी 46 प्रतिशत से अधिक टिकट बुकिंग मोबाइल ऐप के माध्यम से होती है जिसमें उपयोगकर्ता की तरफ से संग्रहित डेटा की मात्रा सबसे अधिक होती है। हालांकि डेटा उल्लंघन का कारण स्पष्ट नहीं है लेकिन विशेषज्ञों का मानना है कि यह उल्लंघन अखिल भारतीय आयुर्विज्ञान संस्थान (एम्स) और सेंट्रल डिपॉजिटरी सर्विसेज (सीडीएसएल) के सर्वर पर हुए हाल के साइबर हमलों से अलग हो सकता है।
साइबर सुरक्षा अनुसंधान फर्म साइबरएक्स9 के संस्थापक और प्रबंध निदेशक हिमांशु पाठक ने कहा, ‘इस मामले में यह प्रभावित हुए यात्रा बुकिंग के ऐप्लिकेशन मंच में आईडीओआर (इनसिक्योर डाइरेक्ट ऑब्जेक्ट रेफरेंस) या प्रमाणीकरण में सेंध लगाने का मामला हो सकता है। सीडीएसएल और एम्स के मामले में जो भी सार्वजनिक जानकारी है उसको देखते हुए ऐसा लगता है कि यह नेटवर्क से जुड़े सभी तंत्र को अपने नियंत्रण में लेने के मकसद से नेटवर्क में लगाई गई सेंध है।‘
यह भी पढ़ें: Xiaomi और Redmi के इन 13 स्मार्टफोन में चलेगा Jio True 5G
वेब ऐप्लिकेशन में पहुंच के नियंत्रण में खामी आने से आईडीओआर जैसे जोखिम की स्थिति बनती है। पाठक ने कहा, ‘भारतीय संगठनों का एक बड़ा हिस्सा संवेदनशील डेटा सुरक्षा के बारे में बहुत कम जानता है और ज्यादा लापरवाह है। ग्राहकों से जुड़े संवेदनशील डेटा का इस्तेमाल करने वाले बुकिंग मंच और इसी तरह की संस्थाओं को अपने ऐप्लिकेशन में नियमित गुणवत्ता केंद्रित सुरक्षा जांच करनी चाहिए।’ इसके अलावा, डेटा संरक्षण कानून की सख्त आवश्यकता है ताकि संवेदनशील डेटा को संभालने वाले संगठनों को वास्तव में बेहतर सुरक्षा नियमों का पालन करने और संवेदनशील डेटा को सुरक्षित करने के लिए मजबूर किया जा सके।
