लापरवाही: 28.8 करोड़ EPFO पेंशन स्कीम धारकों का डेटा लीक, इसमें अकाउंट और नॉमिनी डिटेल भी

अगर आप भी भारत सरकार की EPFO पेंशन स्कीम का लाभ ले रहे हैं, तो ये खबर आपको परेशान कर सकती है। आईएनएस की रिपोर्ट के अनुसार, यूक्रेक के साइबर सुरक्षा शोधकर्ता और पत्रकार ने दावा किया है कि कर्मचारी भविष्य निधि संगठन (EPFO) में कर्मचारी पेंशन स्कीम (EPS) धारकों का पूरा नाम, बैंक अकाउंट नंबर और नॉमिनी की डिटेल वाले लगभग 288 मिलियन (28.8 करोड़) पर्सनल रिकॉर्ड ऑनलाइन लीक हो गए थे। हालांकि, मामला सामने आने के बाद इस डेटा को हटा लिया गया है।

अकाउंट नंबर और नॉमिनी की डिटेल लीक

सिक्योरिटीडिस्कवरी डॉट कॉम के साइबर खतरे के इंटेलिजेंस डायरेक्टर और पत्रकार बॉब डियाचेंको ने दावा किया कि उनके सिस्टम ने यूनिवर्सल अकाउंट नंबर (UAN) डेटा के साथ दो अलग-अलग आईपी की पहचान की। उन्होंने एक ब्लॉगपोस्ट में लिखा कि आईपी एड्रेस एक यूनिक एड्रेस होता है, जो इंटरनेट या लोकल नेटवर्क पर किसी डिवाइस की पहचान करता है।

IP का मतलब ‘इंटरनेट प्रोटोकॉल’ है। वहीं, “UAN का मतलब यूनिवर्सल अकाउंट नंबर है और यह भारत सरकार की रजिस्ट्री का एक महत्वपूर्ण हिस्सा है। यूएएन ईपीएफओ द्वारा आवंटित किया जाता है।” प्रत्येक रिकॉर्ड में व्यक्तिगत जानकारी होती है, जिसमें वैवाहिक स्थिति, लिंग और जन्म तिथि, यूएएन, बैंक अकाउंट नंबर और रोजगार की स्थिति, अन्य शामिल हैं।

शोधकर्ता ने दावा किया कि “जहां एक आईपी एड्रेस के तहत 280 मिलियन (यानी 28.8 करोड़) रिकॉर्ड उपलब्ध थे, वहीं दूसरे आईपी एड्रेस में लगभग 8.4 मिलियन (यानी 84 लाख) डेटा रिकॉर्ड सार्वजनिक रूप से सामने आए।”

ट्वीट के 12 घंटे के भीतर हटा डेटा, अब उपलब्ध नहीं

डियाचेंको ने दावा किया “डेटा के पैमाने और स्पष्ट संवेदनशीलता को देखते हुए, मैंने सोर्स और संबंधित जानकारी के रूप में कोई डिटेल दिए बिना, इसके बारे में ट्वीट करने का फैसला किया। मेरे ट्वीट के 12 घंटे के भीतर दोनों आईपी हटा लिए गए और अब उपलब्ध नहीं हैं।”

3 अगस्त तक किसी एजेंसी से जवाब नहीं मिला

उन्होंने कहा, “3 अगस्त तक, मुझे किसी भी एजेंसी या कंपनी से कोई जवाब नहीं मिला, जो मिले डेटा के लिए जिम्मेदारी का दावा करे।” सुरक्षा शोधकर्ता के अनुसार, “दोनों IP Azure-होस्टेड और भारत-आधारित थे”।सुरक्षा शोधकर्ता ने कहा “रिवर्स डीएनएस एनालिसिस के माध्यम से भी कोई अन्य जानकारी प्राप्त नहीं हुई थी।

दोनों Shodan और Censys सर्च इंजनों ने उन्हें 1 अगस्त को उठाया, लेकिन यह नहीं मालूम है कि सर्च इंजन द्वारा उन्हें इंडेक्स करने से पहले यह जानकारी कितनी देर तक उजागर हुई।”

उन्होंने यह भी ट्वीट किया: “[ब्रीच अलर्ट] इस भारतीय डेटाबेस में 280M+ रिकॉर्ड, सार्वजनिक रूप से उजागर। कहां रिपोर्ट करें? @IndianCERT?” उन्होंने बताया कि दोनों आईपी को अब सार्वजनिक डोमेन से हटा लिया गया है।

यह पढ़े: सोशल मीडिया कंपनियों पर लगाम लगाने की तैयारी में सरकार; प्रत्येक 3 महीने में होगा ऑडिट