UMANG Portal: সিবিএসই (CBSE)-র পুনঃপরীক্ষা সংক্রান্ত পোর্টালে বড় ধরনের ত্রুটি ধরা পড়ার পর, অক্ষয় সিএস এবং ভাইরাল বাঘেলা নামের দুই গবেষক ভারতের ‘উমাং’ (UMANG) পোর্টালেও এমন কিছু দুর্বলতা শনাক্ত করেছেন, যার ফলে আধার নম্বর ও ইপিএফও (EPFO)-র ইউএএন (UAN) সংক্রান্ত তথ্যসহ লক্ষ লক্ষ ভারতীয়র সংবেদনশীল তথ্য ফাঁস হয়ে যাওয়ার ঝুঁকি তৈরি হয়েছে। গবেষকরা *দ্য হিন্দু* পত্রিকাকে জানিয়েছেন যে, শনাক্ত হওয়া এই ত্রুটিগুলো সম্ভবত বহু বছর ধরেই বিদ্যমান এবং এগুলো উমাং পোর্টালে উপলব্ধ একাধিক পরিষেবাকে প্রভাবিত করছে। বাঘেলার উদ্ধৃতি দিয়ে প্রতিবেদনে বলা হয়েছে যে, প্রায় সবকিছুই পরিকল্পিতভাবে অকার্যকর করে রাখা হয়েছে। সরকারও এ বিষয়ে একটি প্রতিক্রিয়া জানিয়েছে, যা আপনার জানা থাকা উচিত।
সরকারের প্রতিক্রিয়া
ইলেকট্রনিক্স ও তথ্যপ্রযুক্তি মন্ত্রক ‘দ্য হিন্দু’-র কাছে দেওয়া এক বিবৃতিতে এই ত্রুটিগুলোর কথা স্বীকার করেছে। মন্ত্রক জানিয়েছে যে, তাদের উন্নয়ন ও নিরাপত্তা বিষয়ক দলগুলো প্রাপ্ত পর্যবেক্ষণগুলো সতর্কতার সাথে পর্যালোচনা করেছে এবং প্রয়োজনীয় উন্নয়ন ও সুরক্ষাব্যবস্থা বাস্তবায়ন করছে। সংশ্লিষ্ট এপিআই (API)-গুলোর প্লেইনটেক্সট তথ্য যথাযথভাবে এনক্রিপ্ট করা হয়েছে। মন্ত্রক আরও জানিয়েছে যে, তারা গত তিন মাসের এপিআই লেনদেনের লগ পর্যালোচনা করে লেনদেনের পরিমাণে সামঞ্জস্য পেয়েছে এবং পোর্টালের কার্যক্রমের ওপর নজরদারি অব্যাহত রয়েছে।
UMANG পোর্টালে ত্রুটি
নিরাপত্তাজনিত কারণে এই দুর্বলতা বা ত্রুটিগুলোর সুনির্দিষ্ট কারিগরি বিবরণ প্রকাশ করা হয়নি, কারণ বিভিন্ন প্রতিবেদনে ইঙ্গিত দেওয়া হয়েছে যে UMANG পোর্টালের ওই ত্রুটিগুলো এখনও বিদ্যমান। প্রতিবেদন অনুযায়ী, এই ত্রুটিগুলোর সুযোগ নিয়ে সাইবার অপরাধীরা UAN নম্বর ব্যবহার করে বড় আকারের অর্থ তুলে নিতে পারত; এর ফলে তারা ব্যাংক অ্যাকাউন্টের তথ্য পরিবর্তন করা এবং অর্থপ্রদান প্রক্রিয়া শুরু করার মতো কাজগুলোও করতে সক্ষম হতো।
UMANG পোর্টালে নিরাপত্তা-সংক্রান্ত ত্রুটি বা ‘ভালনারেবিলিটি’ (vulnerabilities) খুঁজে পাওয়ার পর, গবেষকরা আইটি মন্ত্রক এবং ‘কম্পিউটার ইমার্জেন্সি রেসপন্স টিম, ইন্ডিয়া’ (CERT-In)-কে এ বিষয়ে অবহিত করেন। উল্লেখ্য, CERT-In বিভিন্ন সংস্থাকে সাইবার নিরাপত্তা সংক্রান্ত ত্রুটি মোকাবিলায় সহায়তা করে এবং এ বিষয়ে সতর্কবার্তা জারি করে থাকে। এই ত্রুটিগুলোর বিষয়টি প্রকাশ্যে আসার পরপরই, মাইগ্রেশন বা স্থানান্তরের কাজের জন্য EPFO তাদের অনলাইন পোর্টালটি বন্ধ করে দেয় এবং এক সপ্তাহ ধরে কিছু পরিষেবা বন্ধ ছিল। গবেষকদের ধারণা, সংস্থার কাছে পাঠানো সতর্কবার্তার সাথেই এই পদক্ষেপটি সম্পর্কিত ছিল।
গবেষকদের দাবি, ব্যবহারকারীদের পরিচয় সংক্রান্ত তথ্য সংরক্ষিত থাকে এমন বেশ কয়েকটি পরিষেবায় আধার নম্বরগুলো ‘প্লেইন টেক্সট’ বা সাধারণ পাঠ্য হিসেবে দৃশ্যমান ছিল—যদিও ‘আধার আইন, ২০১৬’-এর অধীনে এ ধরনের তথ্য সংরক্ষণ অনুমোদিত নয়। তবে প্রতিবেদন অনুযায়ী, ‘উমাং’ (UMANG) অ্যাপের নিজস্ব আধার মডিউলটি কিন্তু ঝুঁকিপূর্ণ ছিল না। প্রতিবেদনে উল্লেখ করা হয়েছে যে, উন্মুক্ত হয়ে পড়া তথ্যের মধ্যে ইপিএফও (EPFO)-র ইউনিক অ্যাকাউন্ট নম্বর এবং অন্তত একটি বড় তেল বিপণন সংস্থার এলপিজি সিলিন্ডার বুকিং সংক্রান্ত তথ্য অন্তর্ভুক্ত থাকতে পারে। এমপ্লয়িজ প্রভিডেন্ট ফান্ড অর্গানাইজেশন (EPFO) মডিউলটি এই পোর্টালের সর্বাধিক ব্যবহৃত পরিষেবা; গত তিন মাসে এতে ৪০ কোটিরও বেশি লেনদেন রেকর্ড করা হয়েছে।





