आरोग्य सेतु एप- ट्विटर पर हैकर ने उड़ाई सरकार की नींद, क्या आपको नींद आ रही है?

इन दिनों टीवी और इंटरनेट पर, हर विज्ञापन ब्रेक में जो एक विज्ञापन आता है – वो है आरोग्य सेतु ऐप को आपका रखवाला बताते अजय देवगन का विज्ञापन। लेकिन दरअसल तमाम साइबर सेक्युरिटी एक्सपर्ट्स को शक है कि ये रखवाला ही आपका डेटा चुरा रहा है या फिर कम से कम उसे सुरक्षित रख पाने में सक्षम नहीं है। मंगलवार को सरकार से ज़्यादा नागरिकों की नींद, एक चर्चित हैकर ने उड़ा दी। इलियट एल्डरसन नाम के (ट्विटर पर इस छद्म नाम से मौजूद चर्चित एथिकल हैकर) एक कथित तौर पर फ्रेंच एथिकल हैकर ने, आरोग्य सेतु के असुरक्षित होने का दावा कर के, सरकार को परेशान कर दिया और नागरिकों की नींद उड़ा दी।

आख़िर किया क्या एल्डरसन ने?

एल्डरसन ने सबसे पहले ट्वीट किया कि वो अपने फोन में बिना भारतीय मोबाइल नंबर के ये एप नहीं खोल सकते।

Is the app working on your side? pic.twitter.com/GH9TKer87B

— Elliot Alderson (@fs0c131y) May 5, 2020

इसके बाद इलियट ने ट्विटर पर लोगों से मदद मांगी, उन्होंने लोगों से अपील की, कि उनको ऐसा भारतीय मोबाइल नंबर चाहिए – जिसके ज़रिए आरोग्य सेतु ऐप कभी डाउनलोड नहीं किया गया हो। ज़ाहिर है कि उनको लोगों ने तुरंत नंबर देने चालू कर दिए। इलियट ने दावा किया कि वो आरोग्य सेतु ऐप की तकनीकी ख़ामियां (जो उनके मुताबिक संभवतः एप का तयशुदा डिज़ाइन ही हैं) और सेफ्टी लूपहोल्स के बारे में बताना शुरु करेंगे।

I need to do one final test. If you have a valid Indian phone number and never created an account on Aarogya Setu, can you send me a DM now? https://t.co/j8eFAFTm6X

— Elliot Alderson (@fs0c131y) May 5, 2020

और फिर इसके बाद ट्विटर पर इलियट के फॉलोवर्स इंतज़ार करने लगे किसी खुलासे का, और फिर मंगलवार की रात इलियट ने आरोग्य सेतु के आधिकारिक ट्विटर हैंडल @SetuAarogya को मेंशन करते हुए कहा कि आरोग्य सेतु ऐप सुरक्षित नहीं है, 9 करोड़ भारतीयों की निजता दांव पर है। उन्होंने कहा कि वे सरकार के किसी आधिकारिक सूत्र के संपर्क करने पर एप्लीकेशन की सुरक्षा खामियों के बारे में जानकारी देना चाहेंगे। और साथ में ये भी जोड़ दिया कि राहुल गांधी सही थे, यानी कि राहुल गांधी का आरोग्य सेतु को लेकर जताया गया शक सही था। देखते ही देखते, इस ट्वीट के हज़ारों रीट्वीट होने लगे और अंततः संबंधित अधिकारियों की ओर से इलियट से संपर्क किया गया।

Hi @SetuAarogya,

A security issue has been found in your app. The privacy of 90 million Indians is at stake. Can you contact me in private?

Regards,

PS: @RahulGandhi was right

— Elliot Alderson (@fs0c131y) May 5, 2020

इसके बाद इलियट एल्डरसन ने इसी ट्वीट में रिप्लाई कर के ये जानकारी साझा की, कि सरकार की ओर से उनको संपर्क किया गया है और उन्होंने तकनीकी जानकारियां सरकार से साझा कर दी हैं। लेकिन थोड़ी ही देर में सरकार की ओर से आरोग्य सेतु ऐप के आधिकारिक हैंडल पर ट्वीट कर के सरकारी पक्ष रख दिया गया। सरकार ने कहा कि उनकी एक एथिकल हैकर से बात हुई, उन्होंने सारे तकनीकी पक्ष सुन लिए हैं और वो उस हैकर के प्रति आभार प्रकट करते हैं। लेकिन ऐप बिल्कुल सुरक्षित है और किसी को चिंता करने की कोई ज़रूरत नहीं है।

Statement from Team #AarogyaSetu on data security of the App. pic.twitter.com/JS9ow82Hom

— Aarogya Setu (@SetuAarogya) May 5, 2020

क्या कहा सरकार ने जवाब में?

इस सरकारी सफाई में जो बातें कहीं गई, वो सरल भाषा में समझें तो –

सरकार को एक एथिकल हैकर के द्वारा, आरोग्य सेतु ऐप में संभावित सुरक्षा के ख़तरों के प्रति आगाह किया गया।

सरकार को बताया गया कि ये एप्लीकेशन, कुछ मौकों पर यूज़र की लोकेशन ट्रेस करता है। जवाब में सरकार ने कहा कि ऐप ऐसा ग़लती से नहीं कर रहा, बल्कि उसे ऐसे ही डिज़ाइन किया गया है। ये बात एप्लीकेशन की प्रिवेसी पॉलिसी में पहले ही लिख दी गई है और ऐप में पंजीकरण, कोरोना वायरस के प्रति सेल्फ एसेसमेंट और अगर यूज़र कोविड 19 पॉज़िटिव पाया गया है – तो ही उसकी लोकेशन मांगी जाती है। ये डेटा पूरी तरह इन्क्रिप्टेड और सुरक्षित रखा जाता है।

सरकार को बताया गया कि सरल सी प्रोग्रामिंग स्क्रिप्ट के ज़रिए यूज़र अपनी रेडियस और लॉंगिट्यूड-लैटिट्यूड (अक्षांश और देशांतर लोकेशन) बदल सकता है। जिससे वो कोविड 19 के आंकड़े हासिल कर सकता है। लेकिन सरकार की माने तो रेडियस केवल 5 बिंदुओं, आधा किलोमीटर, एक किलोमीटर, 2 किलोमीटर, 5 किलोमीटर और 10 किलोमीटर पर ही सेट है, इसलिए उसे इसके अलावा बदलना संभव नहीं है। रही बात आंकड़ों की जानकारी की, तो वह पहले से ही सार्वजनिक डोमेन में है।

इसके बाद सरकार की ओर से एथिकल हैकर के नाम के उल्लेख के बिना, उसको धन्यवाद दिया गया कि उसने एप्लीकेशन को लेकर इतनी चिंता जताई।

इलियट की सरकार की प्रतिक्रिया पर प्रतिक्रिया

इस ट्वीट को इलियट ने रीट्वीट किया और लिखा, ‘दरअसल आप ये कहना चाहते हैं कि आपके जांचने लायक कुछ नहीं है..हम देखेंगे..मैं कल आपको फिर संपर्क करूंगा…’

Basically, you said “nothing to see here”

We will see.

I will come back to you tomorrow. https://t.co/QWm0XVgi3B

— Elliot Alderson (@fs0c131y) May 5, 2020

और इसके बाद बुधवार जब भारत में सूरज भी नहीं निकला था, अल-सुबह एल्डरसन का एक और ट्वीट आया, जिसमें उन्होंने ट्विटराटीज़ से पूछा कि क्या उनको पता है कि आरोग्य सेतु ऐप कौन सा ट्राएंगुलेशन है? दरअसल संचार तकनीक की भाषा में कहें तो ट्राएंगुलेशन वह गणना है, जिसके आधार किसी विशेष लोकेशन या कहें कि मोबाइल सिग्नल्स के आधार पर सटीक लोकेशन ट्रेस की जा सकती है, सरल भाषा में एल्डरसन मोबाइल फोन ट्रैकिंग की बात कर रहे हैं और ये भी जता रहे हैं कि इस ऐप का इस्तेमाल करने वाले व्यक्ति का मोबाइल फोन ट्रैक किया जा सकता है।

Do you know what triangulation is @SetuAarogya?

— Elliot Alderson (@fs0c131y) May 5, 2020

ये ख़बर लिखे जाने तक ये एल्डरसन का आखिरी ट्वीट था और ट्विटर पर सबको इंतज़ार है कि आखिर क्या खुलासा करेंगे, अपने ही सवाल के जवाब में एल्डरसन…

राहुल गांधी ने क्या कहा था?

दरअसल 2 मई को ही एक ट्वीट कर के राहुल गांधी ने इस ऐप के दुरुपयोग को लेकर चिंता जताई थी। उन्होंने सरकार के बार-बार इस एप को इंस्टॉल न करने पर ख़तरे जैसी स्थिति जताए जाने पर ट्वीट किया था, “आरोग्य सेतु ऐप एक उन्नत निगरानी प्रणाली है. जो एक प्राइवेट ऑपरेटर को आउटसोर्स की गई है..साथ ही इसमें किसी तरह की संस्थागत स्तर निगरानी नहीं की जा रही है..इस ऐप से डेटा और गोपनीयता से जुड़े कई समस्या हैं. टेक्नोलॉजी हमें सुरक्षित रखने में मदद कर सकती है, लेकिन बिना लोगों की सहमति के उन्हें ट्रैक करना गलत है..भय के नाम पर लाभ उठाना गलत हैं”

(पढ़िए लोगों के डर का फ़ायदा लेकर, उनकी सहमति के बिना ट्रैक नहीं करना चाहिए : राहुल गांधी)

The Arogya Setu app, is a sophisticated surveillance system, outsourced to a pvt operator, with no institutional oversight – raising serious data security & privacy concerns. Technology can help keep us safe; but fear must not be leveraged to track citizens without their consent.

— Rahul Gandhi (@RahulGandhi) May 2, 2020

इसके बाद बीजेपी आईटी सेल से लेकर केंद्रीय संचार मंत्री रविशंकर प्रसाद तक सभी राहुल गांधी को जवाब देने के लिए मैदान में आ गए थे। लेकिन हैरानी की बात ये है कि राहुल गांधी पर हमलावर होकर, उनके आरोपों को खारिज कर देने वाली सरकार और पार्टी को एक अनजान या कहें कि बिना किसी पहचान वाले एथिकल हैकर के दावे पर पूरी तरह से आधिकारिक सफाई जारी करनी पड़ी है। सरकार के इस रवैये के पीछे कहीं ये वजह तो नहीं कि राहुल गांधी ने इस ऐप को लेकर महज चिंता जताई थी, लेकिन एल्डरसन जो कह रहे हैं – शायद उसे साबित भी कर सकते हैं?

तमाम विशेषज्ञों के अलावा सूत्रों की मानें तो देश की ख़ुफ़िया एजेंसियां भी इस ऐप के संभावित दुरुपयोग को लेकर चिंता जता चुकी हैं। इसके अलावा सरकार जिस तरह से कई जगह इसे ज़बरन डाउनलोड करने के नियम लागू कर रही है, वह भी शक़ पैदा करता है। हाल ही में एक निजी कंपनी के ऐसे ही ऐप से डेटा लीक की ख़बर के बाद, उसको अपना सर्वर बंद करना पड़ा है। ऐसे में सरकार से सवाल तो लाजिमी हैं ही, ये अलग बात है कि सरकार – जिस सवाल और जिस व्यक्ति के सवाल का जवाब देना ज़रूरी समझती है, उसी सवाल का और उसी व्यक्ति को जवाब देती है।

लोकतंत्र को पहले ख़तरा विचार से था, किसी सेना या किसी विद्रोह से हुआ करता था…लेकिन अब लोकतंत्र के सामने नई तकनीक के ख़तरे हैं…जिस तकनीक को लोकतंत्र को मज़बूत करने के लिए इस्तेमाल होना था, वो ही लोकतंत्र के लिए ख़तरा बन सकती है। ज़ाहिर है सरकार की ज़िम्मेदारी तो है ही लेकिन ज़िम्मेदारी नागरिक के तौर पर हमारी भी है।