நாட்டில் கொவிட் தடுப்பூசி செலுத்திக்கொண்டவர்களின் தனிநபர் விவரங்கள் வெளியே கசிவதாக சில ஊடகச் செய்திகள் சமூக ஊடகத் தளங்களில் வெளிவந்துள்ளன. கொவிட்-19  தொற்றுக்கு எதிராக தடுப்பூசிகள் செலுத்திக் கொண்ட பயனாளிகளின் அனைத்துத் தரவுகளையும் சேமித்து வைத்துள்ள மத்திய சுகாதார அமைச்சகத்தின் கோ-வின் தளத்திலிருந்து  இந்தக் கசிவு வெளியாகியிருப்பதாக அந்தச் செய்திகள் கூறுகின்றன.

தடுப்பூசி செலுத்திக்கொண்ட தனிநபர்களின் விவரங்களை, டெலிகிராம் போட் (BOT) என்னும் ஆன்லைன் மெசஞ்சர்ஸ் செயலியைப் பயன்படுத்தி எடுத்திருப்பதாக சமூக ஊடகமான ட்விட்டர் தளத்தில் சில செய்திகள் வெளிவந்துள்ளன. பயனாளியின் செல்ஃபோன் எண் அல்லது ஆதார் எண்ணை வைத்து தனிநபர் தரவுகளை போட் (BOT) செயலியால் எடுக்க முடியும் என அதில் கூறப்பட்டுள்ளது.

இத்தகைய அனைத்துச் செய்திகளும் எந்தவித அடிப்படை ஆதாரமும் இல்லாத விஷமத்தனமானவை என விளக்கம் அளிக்கப்பட்டுள்ளது. தனிநபர் விவரங்களைப் பாதுகாக்க போதுமான அம்சங்களுடன், சுகாதார அமைச்சகத்தின் கோ-வின்  தளம் முழுமையான பாதுகாப்பு கொண்டதாகும். மேலும், வெப் அப்ளிகேஷன் ஃபயர்வால் (Web Application Firewall), ஆன்டி-டிடிஓஎஸ் (Anti-DDoS), எஸ்எஸ்எல் (SSL) / டிஎல்எஸ் (TLS) அடையாளம் காணுதல் மற்றும் அணுகுதல் மேலாண்மை உள்ளிட்ட பாதுகாப்பு நடவடிக்கைகள் கோ-வின் தளத்தில் செய்யப்பட்டுள்ளன. ஓடிபி (OTP) எனப்படும் ஒருமுறை கடவுச் சொல் அங்கீகாரத்தின் அடிப்படையில் தரவைப் பெறும் வசதி மட்டுமே அதில் உள்ளது. கோ-வின் தளத்தில் உள்ள தரவுகளின் பாதுகாப்பை உறுதி செய்யும் அனைத்துவிதமான நடவடிக்கைகளும் எடுக்கப்பட்டுள்ளதுடன் தொடர்ந்தும் மேற்கொள்ளப்பட்டு வருகின்றன.

கோ-வின் தளம் மத்திய சுகாதாரம் மற்றும் குடும்ப நல அமைச்சகத்தால் உருவாக்கப்பட்டு பராமரிக்கப்பட்டு வருகிறது. கொள்கை விஷயங்கள் குறித்து முடிவு செய்வதற்கு கோ-வின் மேம்பாட்டுக்கான தடுப்பூசி நிர்வாக உயர் அதிகாரக் குழு ஒன்று அமைக்கப்பட்டது. தேசிய சுகாதார ஆணையத்தின் முன்னாள் தலைமைச் செயல் அதிகாரி இந்தக் குழுவுக்குத் தலைவராவார்.

கோ-வின் தரவை அணுகுதல் – தற்போதைய நிலையில் தனிநபர் அளவில் தடுப்பூசி பயனாளியின் விவரங்களை 3 கட்டங்களில் பெறலாம்.

• பயனாளித் தகவல் பலகை – தடுப்பூசி செலுத்தப்பட்ட நபர் கோ-வின் தரவை பதிவு செய்யப்பட்ட செல்ஃபோன் எண்ணைப் பயன்படுத்தி ஓடிபி (OTP) அங்கீகாரத்துடன் அணுகலாம்.
• கோ-வின் அதிகாரப்பூர்வமாக பயன்படுத்துபவர் – தடுப்பூசி செலுத்திக் கொண்டவர்கள் உள்நுழைதல் அதிகாரத்தைப் பயன்படுத்தி  பயனாளிகளின் தனிநபர் விவரங்களைப் பெறலாம்.  ஆனால் கோ-வின் நடைமுறை ஒவ்வொரு முறையும் அதிகாரப்பூர்வ பயன்படுத்துவோரை கண்காணிக்கும் முறையைக் கொண்டுள்ளது.
• செயலி புரோகிராமிங் இண்டர்ஃபேஸ் எனப்படும்  ஏபிஐ (Application Programme Interface) அடிப்படையிலான அணுகுதல் – கோ-வின் தளத்தை ஏபிஐ மூலம் அணுகும் அங்கீகாரம் பெற்ற 3-ம் தரப்பினர் தடுப்பூசி பயனாளிகளின் தனிநபர் விவரங்களை, பயனாளியின் ஓடிபி அங்கீகாரத்துடன் மட்டுமே பெறலாம்.

டெலிகிராம் பிஓடி (BOT) –

• தடுப்பூசி செலுத்திக்கொண்டவர்களின் பயனாளிகளின் ஓடிபி இல்லாமல் எந்த போட்டுக்கும் (BOT) தரவுகள் பகிரப்படமாட்டாது.
• வயது வந்தோருக்கான தடுப்பூசி செலுத்துவதில் பிறந்த வருடம் மட்டுமே பெறப்படுகிறது. ஆனால் ஊடகச் செய்திகளில் பிறந்த தேதி குறிப்பிடப்பட்டு காணப்படுகிறது.
• பயனாளியின் முகவரியைப் பெறுவதற்கு வழியில்லை.

ஓடிபி (OTP) இல்லாமல்  எந்தத் தரவையும் எடுக்கும் போது ஏபிஐ (Application Programme Interface) எதுவும் இல்லை என்று கோ-வின் தளத்தை உருவாக்கியக் குழு உறுதிபடத் தெரிவித்துள்ளது. அதே சமயம் தரவுகளைப் பகிர்ந்து கொள்ள ஐசிஎம்ஆர் (ICMR) போன்ற 3-ம் தரப்புடன் பகிரும் சில ஏபிஐ-கள் (APIs) உள்ளன. அத்தகைய ஒரு ஏபிஐ (API), கோ-வின் செயலியால் பட்டியலிடப்பட்ட நம்பகத்தன்மை மிக்க ஏபிஐ என்பது குறிப்பிடத்தக்கது. 

இந்த விஷயம் குறித்து ஆய்வு செய்து அறிக்கையை தாக்கல் செய்யுமாறு இந்திய கணினி அவசர மீட்புக்குழுவை (Indian Computer Emergency Response Team - CERT-IN) மத்திய சுகாதார அமைச்சகம் கேட்டுக் கொண்டுள்ளது. மேலும் கோ-வின் தளத்தின் தற்போதைய பாதுகாப்பு அம்சம் குறித்து ஆய்வை மேற்கொள்ளும் உள் நடவடிக்கையும் மேற்கொள்ளப்பட்டுள்ளது.

சிஇஆர்டி (CERT)  அளித்துள்ள ஆரம்ப அறிக்கையில், டெலிகிராம் போட்டுக்கான (BOT) பின்னிலை தரவுகள் (Backend Database) கோ-வின் தளத்தின் ஏபிஐ-யை நேரடியாக அணுகி பெறப்பட்டது அல்ல என்று குறிப்பிடப்பட்டுள்ளது.

***

AP/PKV/KPG/GK