July 13, 2026 | सोमवार, 13 जुलाई
New Delhi --°C
राष्ट्रीय

शोधकर्ताओं ने पाया कि उमंग पोर्टल की खामियों ने सैकड़ों सेवाओं में उपयोगकर्ता डेटा को उजागर कर दिया है

शोधकर्ताओं ने पाया कि उमंग पोर्टल की खामियों ने सैकड़ों सेवाओं में उपयोगकर्ता डेटा को उजागर कर दिया है

केंद्र और राज्य सरकारों द्वारा दी जाने वाली सैकड़ों सार्वजनिक सेवाओं को एकत्र करने वाले सरकारी पोर्टल, यूनिफाइड मोबाइल एप्लिकेशन फॉर न्यू-एज गवर्नेंस (UMANG) में कई कमजोरियां संभावित रूप से लाखों भारतीयों के डेटा को कर्मचारी भविष्य निधि संगठन (ईपीएफओ) सहित विभिन्न डेटाबेस में उजागर कर रही हैं, दो सुरक्षा शोधकर्ताओं के अनुसार जिन्होंने अपने निष्कर्ष साझा किए हैं। द हिंदू.

कमजोरियाँ, जो संभवतः वर्षों से मौजूद हैं, उमंग पोर्टल पर परीक्षण की गई कई सेवाओं को प्रभावित करती हैं, जिसमें 2,400 से अधिक सेवाएँ शामिल हैं। शोधकर्ताओं अक्षय सीएस और विरल वाघेला ने कहा, यह पोर्टल की वास्तुकला से ही उपजा है। श्री वाघेला ने कहा, “लगभग हर चीज़ डिज़ाइन से टूटी हुई है।”

उमंग को नौ साल पहले प्रधान मंत्री नरेंद्र मोदी ने साइबर स्पेस पर पांचवें वैश्विक सम्मेलन में लॉन्च किया था, जो दिल्ली में हुआ था।

ईपीएफओ डाउनटाइम

उजागर किए गए डेटा में ईपीएफओ के साथ विशिष्ट खाता संख्या (यूएएन), कम से कम एक प्रमुख तेल विपणन कंपनी के साथ एलपीजी सिलेंडर बुकिंग विवरण और कई सेवाओं में आधार नंबर शामिल हैं जहां उपयोगकर्ता की आईडी विवरण सहेजे जाते हैं। आधार नंबर कई सेवाओं में सादे टेक्स्ट में पाए गए, भले ही आधार अधिनियम, 2016 द्वारा इस तरह के भंडारण की अनुमति नहीं है। उमंग के भीतर आधार मॉड्यूल स्वयं असुरक्षित नहीं था।

ईपीएफओ मॉड्यूल उमंग की सबसे अधिक उपयोग की जाने वाली सेवा है, जिसने पिछले तीन महीनों में 40 करोड़ से अधिक लेनदेन रिकॉर्ड किए हैं – जो कि अगले सबसे बड़े उपयोग के मामले भारत आधार सीडिंग एनेबलर से पंद्रह गुना अधिक है।

इलेक्ट्रॉनिक्स और सूचना प्रौद्योगिकी मंत्रालय ने द हिंदू को दिए एक बयान में कमजोरियों को स्वीकार किया। मंत्रालय ने कहा, “हमारी विकास और सुरक्षा टीमों ने टिप्पणियों की सावधानीपूर्वक जांच की है और आवश्यक सुधारात्मक और निवारक उपाय लागू कर रहे हैं।” “संबंधित एपीआई में सादा पाठ जानकारी उचित रूप से एन्क्रिप्ट की गई है।”

मंत्रालय ने कहा कि उसने “पिछले तीन महीनों के एपीआई लेनदेन लॉग की समीक्षा की है” और पाया कि “लेन-देन की मात्रा” सुसंगत थी और उसने उमंग पोर्टल पर गतिविधियों पर नजर रखना जारी रखा।

यह भी पढ़ें: पीएफ का ब्याज 15 जुलाई तक सदस्यों के खातों में जमा कर दिया जाएगा: मंत्री

द हिंदू कमजोरियों के सटीक तकनीकी विवरण को छुपा रहा है, क्योंकि वे उपरोक्त हस्तक्षेपों के बावजूद सक्रिय रहते हैं। आईटी मंत्रालय ने जिस एन्क्रिप्शन का उल्लेख किया है वह “त्रुटिपूर्ण और अपर्याप्त है”, श्री अक्षय ने कहा, एक सरल समाधान ने इसे किसी भी तरह से क्रैक करने की अनुमति दी। पर द हिंदूके अनुरोध पर, शोधकर्ताओं ने अपने निष्कर्षों को एक अन्य स्वतंत्र सुरक्षा शोधकर्ता करण सैनी के साथ साझा किया, जिन्होंने कमजोरियों को “महत्वपूर्ण” बताया।

“यह देखते हुए कि दर सीमित लागू की गई थी और ईपीएफओ यूएएन की बड़ी संख्या-स्थान है,” श्री सैनी ने कहा, उपयोगकर्ता द्वारा किए जाने वाले अनुरोधों की संख्या को सीमित करने के लिए साइट द्वारा उठाए गए कदमों का जिक्र करते हुए, “यह संभावना नहीं है कि पूरे ईपीएफओ डेटाबेस को प्रतिबिंबित करने के लिए भेद्यता का फायदा उठाया जा सकता है।” फिर भी, उन्होंने कहा, “संभवतः यूएएन नंबर रखने वाले साइबर अपराधियों द्वारा बैंक खाते के विवरण बदलने और भुगतान शुरू करने की अनुमति देकर बड़े पैमाने पर धन निकालने के लिए इसका दुरुपयोग किया जा सकता है, जो बहुत चिंताजनक है।”

श्री सैनी ने कहा, “प्रकटीकरण के बाद शुरू में लागू किए गए सुधार सिस्टम को सुरक्षित करने के लिए कुछ भी नहीं करते हैं और इसके बजाय सुरक्षा के साथ अस्पष्टता को भ्रमित करते हैं, जबकि प्रक्रिया में एक और भेद्यता भी पेश करते हैं।” (द हिंदू अतिरिक्त भेद्यता के बारे में जानकारी भी रोक रहा है।)

श्री अक्षय और श्री वाघेला ने आईटी मंत्रालय और कंप्यूटर इमरजेंसी रिस्पांस टीम, भारत (सीईआरटी-इन) को दोनों कमजोरियों की सूचना दी, जो अलर्ट जारी करती है और देश भर के संगठनों को इस तरह की कमजोरियों के समाधान में मदद करती है। इस जोड़ी द्वारा कमजोरियों की सूचना दिए जाने के तुरंत बाद, ईपीएफओ ने “माइग्रेशन” के लिए अपना ऑनलाइन पोर्टल बंद कर दिया और इस सप्ताह कुछ सेवाएं अनुपलब्ध रहीं। शोधकर्ताओं ने कहा कि उन्हें संदेह है कि यह उनके अलर्ट के जवाब में था, जो संगठन को भी भेजा गया था। श्रम और रोजगार मंत्रालय ने टिप्पणी के अनुरोध का जवाब नहीं दिया।

श्री सैनी ने कहा, “यह जांचने लायक है कि क्या उमंग पोर्टल पर तैनात किए गए फिक्स एक साथ उन सेवाओं में तैनात किए गए थे जिनके लिए उमंग प्रॉक्सी के रूप में कार्य करता है।”

सरकारी सुरक्षा

कमजोरियाँ सरकारी वेबसाइटों की सुरक्षा स्थिति को उजागर करती हैं, खासकर ऐसे समय में जब भारत एंथ्रोपिक के मिथोस एआई मॉडल तक पहुंच की मांग कर रहा है, जिसे दशकों से बने जटिल कोडबेस में लंबे समय से चली आ रही कमजोरियों को सुरक्षित करने के तरीके के रूप में देखा गया है।

सोमवार (13 जुलाई, 2026) को एक रिपोर्ट लॉन्च में, आईटी सचिव एस. कृष्णन ने कहा कि सीईआरटी-इन ने एक “वॉर रूम” लॉन्च किया था, जहां वह स्थानीय रूप से होस्ट किए गए ओपन-सोर्स मॉडल के साथ सरकार द्वारा उपयोग किए जाने वाले महत्वपूर्ण कोड का ऑडिट कर रहा था, जिनकी क्षमताएं अत्याधुनिक फ्रंटियर मॉडल के बराबर थीं। श्री कृष्णन ने कहा कि सरकार ने सरकारी वेबसाइटों पर साइबर कमजोरियों से निपटने के लिए “निरंतर अभ्यास” किया है।

सरकारी वेबसाइटों की साइबर सुरक्षा के बारे में एक व्यापक प्रश्न के उत्तर में, श्री कृष्णन ने कहा, मिथोस तक पहुंच, “वास्तव में इनमें से किसी भी कमजोरियों की पहचान करने और उन्हें ठीक करने” का एक अवसर होगा।

“स्पष्ट रूप से, मिथोस और इसी तरह के उन्नत मॉडल तक पहुंच प्राप्त करना सरकार की प्राथमिकता सूची में बहुत ऊपर है, और यह कुछ ऐसा है जिस पर हमने अमेरिका में अपने समकक्षों और संबंधित कंपनियों के साथ चर्चा की है।”

सीईआरटी-इन के वॉर रूम में, श्री कृष्णन ने कहा कि सरकार उन मॉडलों का उपयोग कर रही थी “जिनके बारे में हमारा मानना ​​है कि वे माइथोस के समान लगभग 60-70% सक्षम हैं” और “कमजोरियों की पहचान कर रही है और उन्हें ठीक कर रही है” जिसे उन्होंने “जब भी माइथोस उपलब्ध हो, उसके लिए ड्राई रन” के रूप में वर्णित किया।

प्रकाशित – 13 जुलाई, 2026 06:58 अपराह्न IST

ni24india

Leave a Comment

Your email address will not be published. Required fields are marked *

Follow us on Instagram