फ्रांस अपने इतिहास की सबसे गंभीर सरकारी डेटा उल्लंघन घटनाओं में से एक का सामना कर रहा है। एजेंस नेशनल देस तीत्र सेक्युरिसे (ANTS), जिसे फ्रांस तीत्र के नाम से भी जाना जाता है, एक विशाल साइबर हमले का शिकार हुई है जिसने संभवतः 19 मिलियन नागरिकों की व्यक्तिगत जानकारी को उजागर कर दिया है। फ्रांसीसी आंतरिक मंत्रालय ने 20 अप्रैल को इस उल्लंघन की पुष्टि की और बताया कि हमले का पता पहली बार 15 अप्रैल को चला था। ANTS वह एजेंसी है जो संपूर्ण फ्रांसीसी आबादी के पहचान पत्र, पासपोर्ट, ड्राइविंग लाइसेंस और वाहन पंजीकरण का प्रबंधन करती है।
आंतरिक मंत्रालय के आधिकारिक आंकड़ों के अनुसार, लगभग 11.7 मिलियन खातों के प्रभावित होने की पुष्टि हुई है। हालांकि, हमले के पीछे के हैकर्स का दावा है कि उन्होंने 18 से 19 मिलियन उपयोगकर्ता प्रोफाइल चुराए हैं, जो सरकार के अनुमान से काफी अधिक है। चुराया गया डेटा कथित रूप से पहले से ही भूमिगत ऑनलाइन बाजारों में बिक्री के लिए उपलब्ध है, जो बड़े पैमाने पर पहचान की चोरी और धोखाधड़ी की गंभीर चिंताएं पैदा करता है।
इस उल्लंघन में उजागर हुए डेटा की प्रकृति अत्यंत संवेदनशील है। समझौता की गई जानकारी में पूरे नाम, जन्म तिथि, ईमेल पते, लॉगिन पहचानकर्ता और अद्वितीय ANTS खाता पहचान कोड शामिल हैं। कुछ मामलों में, हमलावर डाक पते, जन्म स्थान और फोन नंबर तक भी पहुंचने में सफल रहे। व्यक्तिगत विवरणों का यह संयोजन एक व्यापक प्रोफाइल प्रदान करता है जिसका उपयोग फिशिंग अभियानों, पहचान धोखाधड़ी और अन्य आपराधिक गतिविधियों के लिए किया जा सकता है।
शायद सबसे चिंताजनक बात यह है कि जिस कमजोरी का फायदा उठाया गया वह कितनी बुनियादी थी। हमलावरों ने IDOR (इनसिक्योर डायरेक्ट ऑब्जेक्ट रेफरेंस) नामक खामी के माध्यम से पहुंच प्राप्त की, जो वेब सुरक्षा कमजोरियों की सबसे बुनियादी और सुपरिचित श्रेणियों में से एक है। इस प्रकार की खामी एक हमलावर को URL या API अनुरोध में केवल एक संख्या बदलकर दूसरे उपयोगकर्ता के डेटा तक पहुंचने की अनुमति देती है। ANTS के सर्वर कोई उचित प्राधिकरण जांच नहीं करते थे, जिसका अर्थ है कि कोई भी प्रमाणित उपयोगकर्ता लाखों अन्य लोगों के निजी डेटा को स्वतंत्र रूप से देख सकता था।
फ्रांसीसी डेटा संरक्षण प्राधिकरण CNIL को सामान्य डेटा संरक्षण विनियमन (RGPD) की आवश्यकताओं के अनुसार औपचारिक रूप से सूचित किया गया है। पेरिस की लोक अभियोजक कार्यालय ने भी इस घटना की जांच शुरू कर दी है। RGPD के प्रावधानों के तहत, व्यक्तिगत डेटा की पर्याप्त सुरक्षा करने में विफल रहने वाले संगठनों को भारी जुर्माने का सामना करना पड़ सकता है।
साइबर सुरक्षा विशेषज्ञों ने बताया कि IDOR कमजोरियां वेब विकास के बुनियादी प्रशिक्षण में नियमित रूप से शामिल की जाती हैं और OWASP टॉप 10 सुरक्षा जोखिमों में प्रमुखता से सूचीबद्ध हैं। करोड़ों फ्रांसीसी नागरिकों के पहचान दस्तावेजों का प्रबंधन करने वाली प्रणाली में इतनी मूलभूत खामी का मौजूद होना सभी सरकारी आईटी प्रणालियों की व्यापक समीक्षा की मांग को जन्म दे रहा है। आलोचकों का तर्क है कि यह घटना फ्रांसीसी सार्वजनिक सेवाओं में साइबर सुरक्षा में व्यवस्थागत कम निवेश को उजागर करती है।
जांच जारी रहने के बीच, प्रभावित नागरिकों से फिशिंग प्रयासों और संदिग्ध संचार के प्रति सतर्क रहने का आग्रह किया जा रहा है। क्षति का पूरा दायरा अभी स्पष्ट नहीं है और अधिकारियों को प्रभाव का पूर्ण मूल्यांकन करने में सप्ताह या महीने लग सकते हैं। यह घटना एक कड़ी चेतावनी है कि सबसे संवेदनशील व्यक्तिगत डेटा की जिम्मेदारी संभालने वाली सरकारी एजेंसियां भी साइबर हमलों से सुरक्षित नहीं हैं।
टिप्पणियाँ