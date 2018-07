நே ற்று முன்தினம் வரைக்கும் சுமார் 9,000 பாலோயர்களுடன் சத்தமின்றி இருந்த டிராய் தலைவர் ராம் சேவக் ஷர்மாவின் ட்விட்டர் அக்கவுன்ட், இன்று தேசம் முழுக்க பிரபலமாகிவிட்டது. இவருக்கும், ஹேக்கர்களுக்கும் இடையே நடந்த உரையாடல்கள் ஆதார் மீதான மக்களின் நம்பிக்கையையே கேள்விக்குட்படுத்தியுள்ளன. உண்மையில் நடந்தது என்ன? ஹேக்கர்கள் ஆதார் டேட்டா பேஸில் ஊடுருவியது உண்மையா? சில விளக்கங்களுடன் பார்ப்போம்.

1. எங்கே தொடங்கியது பிரச்னை?

இரு தினங்களுக்கு முன்பு ஓர் ஊடகத்தில், ஆதார் தகவல்களின் பாதுகாப்புத் தன்மை குறித்து ஆர்.எஸ்.ஷர்மா பேட்டியளித்திருந்தார். அதில், ``என்னுடைய ஆதார் கார்டை வைத்துக்கொண்டு உங்களால் என்ன செய்துவிட முடியும்? நான் வேண்டுமானால் என் ஆதார் கார்டைக் கொடுக்கவும் தயாராக இருக்கிறேன்" எனக் கூறியிருந்தார். இதைப் படித்த நெட்டிசன் ஒருவர் ட்விட்டரில், ``உங்களால் ஆதார் எண்ணை வெளிப்படையாக சொல்ல முடியுமா? ஆதாரின் மீது நம்பிக்கையிருந்தால் உங்கள் தகவல்களைக் கொடுங்கள்" என ஷர்மாவிடம் சவால் விட்டார். அதற்குப் பதிலாகத்தான் ஷர்மா தன்னுடைய ஆதார் எண்ணை வெளியிட்டார். 7621 7768 2740 என்ற எண்ணை வெளியிட்டதோடு மட்டுமின்றி, ``இந்த எண்ணை வைத்துக்கொண்டு எனக்கு எப்படி பாதிப்பு ஏற்படுத்திவிட முடியும் எனக் காட்டுங்கள்" என சவாலும் விட்டார். இங்கிருந்துதான் பஞ்சாயத்து தொடங்கியது. பிரெஞ்சு ஹேக்கர் என அறியப்பட்ட 'எலியட் ஆல்டர்சன்' முதலில் ஷர்மாவின் மொபைல் எண்ணை பதிவிட்டார். ``ஆதாரோடு இணைக்கப்பட்ட மொபைல் எண்" என அதைக் குறிப்பிட்டார். அதற்கடுத்து வரிசையாக வெவ்வேறு தகவல்கள் வெளியாகின.

2. எந்தெந்த தகவல்கள் எல்லாம் வெளியாகின?

ஷர்மாவின் இரண்டு மொபைல் எண்கள், பழைய மற்றும் புதிய வீட்டு முகவரிகள், பிறந்த தேதி, பான் எண், வாக்காளர் அடையாள அட்டை, ஏர் இந்தியா அக்கவுன்டின் பயணி எண், மொபைல் ஆபரேட்டர் விவரம், வாட்ஸ்அப் டிபி ஆகியவையெல்லாம் ஹேக்கர்களால் வெளியிடப்பட்டன. இதுதவிர ஷர்மாவின் UPI ஐ.டி, பஞ்சாப் நேஷனல் வங்கியின் அக்கவுன்ட் எண் உள்ளிட்ட விவரங்களும் வெளியாகின. இந்தத் தகவல்கள் வெளியாகும்போது, இவையனைத்துக்கும் ட்விட்டரிலேயே ஷர்மா பதிலளித்துவந்தார்.

3. உண்மையிலேயே வெளியானவை ஆதார் தகவல்கள்தானா?

இங்கேதான் சிக்கல். ஹேக்கர்கள் வெளியிட்ட மொபைல் எண், முகவரி, பிறந்ததேதி உட்பட எல்லா தகவல்களும் ஆதார் அட்டையில் இடம்பெற்றுள்ளவைதான். ஆனால், ஆதார் டேட்டா பேஸில் இருந்து வந்தவை கிடையாது. மாறாக, இந்தத் தகவல்கள் அனைத்தும் ஷர்மா குறித்து வெவ்வேறு அரசு இணையதளங்களில் வெளிப்படையாகவே பார்க்கக்கிடைப்பவை. இவையனைத்தும் ஆதாரில் இருந்து வெளிவந்தவை இல்லை என்பதற்கு இன்னொரு காரணம், இவற்றை வெளியிட்ட ஹேக்கர்கள் யாரும் அதை நிரூபிக்கவில்லை. மேலும், மொபைல் எண், மின்னஞ்சல் எண், பான் எண் போன்றவற்றை எல்லாம் சரியாகச் சொன்ன ஹேக்கர்கள், இந்த ஆதார் என்னுடன் இணைந்துள்ள வங்கிக்கணக்குகள் குறித்து தவறான தகவலையே தந்தனர். எனவே, இந்தத் தகவல்கள் அனைத்தும் ஆதாரில் இருந்துதான் வெளிவந்தது என்பதற்கு எவ்வித ஆதாரமும் கிடையாது.

4. ஆர்.எஸ்.ஷர்மா என்ன சொல்கிறார்?

இவையனைத்தும் ஆதாரில் இருந்து திருடப்படவில்லை என்பதையேதான் மீண்டும் மீண்டும் வலியுறுத்திக் கொண்டிருக்கிறார் ஷர்மா. மேலும், இதுவரைக்கும் வெளிவந்த தகவல்களும், தனக்கு எவ்வித பாதிப்பும் ஏற்படுத்திவிடவில்லை என்கிறார். அவர் விட்ட சவாலே, ஆதார் எண்ணை மட்டும் வைத்துக்கொண்டு எனக்கு என்ன தீங்கு செய்துவிட முடியும் என நிரூபியுங்கள் என்பதுதான். அப்படி எதையும் ஹேக்கர்கள் செய்யவில்லை. அவருடைய விவரங்கள் வெளியானது எல்லாம் அவருக்குப் பாதிப்பில்லையா எனக் கேட்டால், ``இதெல்லாம் ஏற்கெனவே பொதுவெளியில் இருக்கும் தகவல்கள்தானே? இவற்றுக்கு ஆதார் எப்படி பொறுப்பாக முடியும்? மேலும், இவற்றால் எனக்கு என்ன தீங்கு நேர்ந்துவிட்டது?" எனக் கேட்கிறார் ஷர்மா.

ஆதார் தகவல்கள் எதுவும் நேரடியாக ஹேக் செய்யப்படவில்லை என்றாலும்கூட, நேற்று ஹேக்கர்கள் செய்த சில வேலைகள் நம்முடைய அரசு இணையதளங்களின் பாதுகாப்பின்மையை வெளிச்சம் போட்டுக் காட்டியது. உதாரணம், ஷர்மாவின் பான் எண். அதைத் தெரிந்துகொள்ள ஒரு பயனரின் பெயரும், பிறந்த தேதியும் மட்டுமே போதும். அப்படித்தான் நேற்று ஷர்மாவின் விவரங்களைக் கொண்டு, இந்திய வருமான வரித்துறையின் இணையதளத்தில் பான் எண்ணைப் பெற்றனர். Know Your PAN ஆப்ஷன் மூலம் இதைச் செய்தனர். அந்த இணையதளத்தில் இருந்த ஒரே பாதுகாப்பு அம்சம் மொபைலுக்கு வரும் OTP மெசேஜ்தான். ஆனால், அதுவும் பயனர் ஏற்கெனவே பதிவு செய்த மொபைல் எண்ணுக்கு வராமல், யார் எந்த மொபைல் எண் கொடுத்தாலும் வந்துவிடுகிறது. உண்மையை அறிந்துகொள்ள நாமும் இந்த வசதியை முயற்சி செய்தோம். OTP-யும் வந்தது. ஆனால், இந்தத் தகவல்கள் வெளியானதாலோ என்னவோ, ஷர்மாவின் விவரங்களைக் காட்ட மறுத்துவிட்டது வருமான வரித்துறை இணையதளம்.

@IncomeTaxIndia Your e-filing portal is vulnerable. I just entered @rssharma3's Name, D.O.B, my Mobile Number & Voila!



Received OTP on my phone instead of the registered user.



This is not how I usually disclose vulns. But, had to do it today -> already possibly known to many. pic.twitter.com/oIdZYp9ndt