सुरक्षा शोधकर्ताओं ने कहा कि उन्होंने सरकार द्वारा संचालित दर्जनों वेब सेवाओं में हजारों महत्वपूर्ण कमजोरियां पाईं, जिनमें से आधे से अधिक कथित तौर पर राज्य सरकारों की थीं। अधिकांश सेवाओं में कई मुद्दे थे, जिसमें उजागर किए गए क्रेडेंशियल्स, संवेदनशील फाइलों के लीक और ज्ञात बगों का अस्तित्व शामिल था। यदि शोषण किया जाता है, तो इन खामियों को शोधकर्ताओं के अनुसार, सरकारी नेटवर्क के भीतर गहरी पहुंच प्राप्त हो सकती है। इस महीने की शुरुआत में राष्ट्रीय क्रिटिकल इन्फ्रास्ट्रक्चर इंफ्रास्ट्रक्चर प्रोटेक्शन सेंटर (NCIIPC) के नोटिस के तहत मुद्दों को लाया गया था। अब, राष्ट्रीय साइबर सुरक्षा समन्वयक (NCSC) के एक शीर्ष अधिकारी ने कहा कि “उपचारी कार्रवाई” की गई है।
समझौता किए गए सेवाओं के विवरण को सुरक्षा उपाय के रूप में सार्वजनिक नहीं किया गया था। हालाँकि, कई सरकारी विभाग अभी भी सुरक्षा उपायों पर, विशेषकर राज्य स्तर पर पकड़ रहे हैं। लेकिन जाहिर है, विभिन्न विभागों में अलग-अलग खतरे की रूपरेखा होती है।
शोधकर्ताओं का समूह, जो खुद को सकुरा समुराई कहते हैं, फरवरी की शुरुआत में NCIIPC तक पहुंच गए। हालाँकि, हिंदुस्तान टाइम्स की एक रिपोर्ट के अनुसार, झंडे वाले मुद्दे दो सप्ताह से अधिक समय तक अनसुलझे रहे।
फरवरी
, सकुरा समुराई सदस्य जॉन जैक्सन ने प्रकाशित किया ब्लॉग के उल्लंघन का विवरण और भारतीय साइबर सुरक्षा विंग को नोटिस लेने में मदद करने के लिए अमेरिकी रक्षा संरक्षण प्रकटीकरण कार्यक्रम (DC3 VDP) को कैसे शामिल किया जाना था। रिपोर्ट बताती है कि कार्रवाई में देरी के कारण बुरे कलाकार संवेदनशील सूचनाओं तक पहुंच सकते हैं और सरकारी सर्वरों के खिलाफ विघटनकारी संचालन कर सकते हैं।
सरकारी वेब सेवाओं में पाए गए महत्वपूर्ण मुद्दों में उजागर क्रेडेंशियल्स शामिल हैं जो अनधिकृत अनुमति दे सकते हैं। हैकर्स के लिए उपयोग। इसके अलावा, जैक्सन और उनकी टीम ने लिखा कि उन्होंने क्रेडेंशियल जोड़े (जो एक लक्ष्य को प्रमाणित करने के लिए इस्तेमाल किया जा सकता है), संवेदनशील फाइलों के तीन उदाहरण, दर्जनों पुलिस एफआईआर, और 13, 20 पहचान योग्य जानकारी के उदाहरण। संभावित खामियों की भी खोज की गई जो अत्यंत संवेदनशील सरकारी प्रणालियों से समझौता कर सकती हैं। टीम सकुरा समुराई ने NCVIPC द्वारा चलाए जा रहे जिम्मेदार भेद्यता प्रकटीकरण कार्यक्रम (RVDP) के एक भाग के रूप में gov.in सिस्टम का परीक्षण किया। आरवीडीपी डेवलपर्स, शोधकर्ताओं और सुरक्षा पेशेवरों को कंपनियों और देशों को संभावित सूचना सुरक्षा जोखिम के मुद्दों की रिपोर्ट करने की अनुमति देता है।
जैक्सन ने ब्लॉग में समझाया, “भले ही भारत सरकार के पास आरवीडीपी है, हम कमजोरियों का खुलासा करने में सहज महसूस नहीं किया। हैकिंग प्रक्रिया व्यापार-की-सामान्य सुरक्षा अनुसंधान की मानक स्थिति से बहुत दूर थी। कुल मिलाकर, हमारी रिपोर्ट बड़े पैमाने पर कमजोरियों के लायक। हम जानते थे कि हमारी मंशा अच्छी थी, लेकिन हम यह सुनिश्चित करना चाहते थे कि अमेरिकी सरकार की स्थिति पर नजर हो। ”
सकुरा समुराई तब डीसी 3 वीडीपी के साथ समन्वय कर शुरुआती बातचीत को सुविधाजनक बनाने में सहायता कर रहे थे। । 4 फरवरी को, अमेरिकी निकाय ने एक ट्वीट में NCIIPC को टैग करते हुए कहा, “अपने ईमेल की जांच करें और चैट करें।”
हे @ NCIIPC ! हमारे पास कुछ कमजोरियों के साथ एक शोधकर्ता है जो यह बताता है कि आप में रुचि हो सकती है। अपना ईमेल देखें और चैट करें। ☎️ ????
– DC3 VDP (@ DC3VDP) 4 फरवरी,
NCSC ने रविवार को जैक्सन और उनकी टीम के साथ एक संचार चैनल खोला। राष्ट्रीय साइबर सुरक्षा समन्वयक (NCSC) लेफ्टिनेंट जनरल राजेश पंत ने हिंदुस्तान टाइम्स को बताया कि आवश्यक कार्रवाई की गई। “सुधारात्मक कार्रवाइयां NCIIPC (नेशनल क्रिटिकल इन्फॉर्मेशन इन्फ्रास्ट्रक्चर प्रोटेक्शन सेंटर) और सर्टिफिकेट-इन (इंडियन कंप्यूटर इमरजेंसी रिस्पांस टीम) द्वारा की गई हैं… NCIIPC केवल क्रिटिकल इन्फ़ॉर्मेशन इन्फ्रास्ट्रक्चर मुद्दों को संभालती है। इस मामले में अन्य राज्यों और विभागों से संबंधित शेष राशि जिन्हें तुरंत सीईआरटी-इन द्वारा सूचित किया गया था। यह संभावना है कि उपयोगकर्ताओं द्वारा कुछ कार्रवाई राज्य स्तरों पर लंबित हो सकती है जिसे हम जाँच रहे हैं। ”
क्या व्हाट्सएप की नई गोपनीयता नीति आपकी गोपनीयता के लिए अंत है? हमने इस पर चर्चा की हमारी साप्ताहिक तकनीक पॉडकास्ट ऑर्बिटल पर, जिसे आप से सब्सक्राइब कर सकते हैं Apple पॉडकास्ट , 13 , RSS ,
