- शादाब नाझमी
भारतातली तिसरी सर्वात मोठी टेलिकॉम कंपनी असलेल्या एअरटेलच्या जवळजवळ 30 कोटी ग्राहकांचा डेटा धोक्यात टाकणारा एक बग सापडला आहे. एअरटेलच्या मोबाईल अॅपच्या API (Application Programme Interface) मध्ये आढळलेल्या या त्रुटीमुळे हॅकर्स भारतातील सर्व एअरटेल सबक्राइबर्सची माहिती चोरू शकतात, तेही केवळ मोबाईल नंबरवरून.
हे हॅकर्स या बगद्वारे ग्राहकाचं नाव, लिंग, ई-मेल, जन्मतारिख, पत्ता, सबस्क्रीप्शन माहिती आणि IMEI क्रमांक अशी संवेदनशील माहिती मिळवू शकतात. एहराज अहमद या स्वतंत्र सिक्युरिटी संशोधकाला सर्वप्रथम ही त्रुटी आढळली. "ही त्रुटी शोधून काढण्यासाठी मला फक्त 15 मिनिटं लागली," असं त्यांनी बीबीसीला सांगितलं.
बीबीसीने हे बग एअरटेलच्या लक्षात आणून दिल्यावर त्यांनी ते ताबडतोब दुरुस्त केलं. एअरटेलच्या एका प्रवक्त्याने बीबीसीला सांगितलं की, "आमच्या टेस्टिंगमध्ये APIमध्ये तांत्रिक त्रुटी असल्याचं लक्षात आलं. त्यानंतर आम्ही ती त्रुटी दूर केली." "एअरटेलचा डिजिटल प्लॅटफॉर्म अत्यंत सुरक्षित आहे. ग्राहकांची गोपनीयता आमच्यासाठी खूप महत्त्वाची आहे आणि आम्ही आमच्या डिजिटल प्लॅटफॉर्मची सुरक्षितता कायम ठेवण्यासाठी कटिबद्ध आहोत," त्या प्रवक्त्याने पुढे सांगितलं.
हे किती गंभीर आहे?
केवळ एका क्लिकवरून एअरटेल ग्राहकांची खासगी माहिती कशी हॅक करता येते, याचं प्रात्यक्षिक अहमद यांनी आम्हाला करून दाखवलं. फक्त फोन नंबरच्या माध्यमातून हॅकर्स कशापद्धतीने एअरटेलच्या सर्व ग्राहकांची खासगी आणि संवेदनशील माहिती मिळवू शकतात, हे त्यांनी सांगितलं. इथे हे सांगणं गरजेचं आहे की तो डेटा पब्लिक डोमेनवर उपलब्ध नाही आणि अहमद यांनी एअरटेलचं सिस्टिम स्कॅन केल्यानंतर त्यांना ती माहिती मिळाली.
ही देशातली आतापर्यंतची सर्वात मोठी सुरक्षाविषयक त्रुटी ठरू शकते. टेलिकॉम रेग्युलेटरी ऑथरिटी ऑफ इंडियाच्या (TRAI) अहवालानुसार 2019च्या सप्टेंबर महिन्याअखेरपर्यंत एअरटेलचे देशात जवळपास 32.5 कोटी अॅक्टिव्ह सबस्क्रायबर्स आहेत. त्यांच्यापुढे व्होडाफोन-आयडिया (37.2 कोटी) आणि जिओ (35.5 कोटी) या दोन मोठ्या टेलिकॉम कंपन्या आहेत.
याचवर्षी ऑक्टोबरमध्ये 'Just Dial' या सर्च सर्व्हिसच्या APIमध्येदेखील दोष आढळला होता. या सेवा कंपनीचे ग्राहक असलेल्या 15.6 कोटी लोकांना त्याचा फटका बसला असता. जस्ट डायलने हा बग असल्याचं आणि हॅकरकडून त्याचा दुरुपयोग होण्याची शक्यता होती, हे मान्य केलं.
डेटा किती असुरक्षित आहे?
कुठल्याही ग्राहकासाठी त्याच्या मोबाईलचा इंटरनॅशनल मोबाईल इक्विपमेंट आयडेंटीटी (IMEI) क्रमांक फार महत्त्वाचा असतो. प्रत्येक मोबाईल हँडसेटसाठीचा हा एक स्वतंत्र आणि एकमेवाद्वितीय असा क्रमांक असतो.
सायबर लॉ एक्सपर्ट पवन दुग्गल सांगतात, "जर माझा IMEI क्रमांक उपलब्ध असेल तर तो टॅग केला जाऊ शकतो, माझ्या मोबाईलमध्ये हेरगिरी करणारे मालवेअर इन्स्टॉल केले जाऊ शकतात. इतकंच नाही तर रॅनसमवेअरही टाकला जाऊ शकतो, ज्याद्वारे हॅकर्स माझ्याकडून काही माहिती किंवा पैसे उकळू शकतात.
"ही काही साधीसुधी माहिती नसते. ही तुमचा संपूर्ण तपशील देणारी माहिती आहे. मी याक्षणी कुठे आहे, ही माहिती मिळवण्यासाठी देखील याचा वापर केला जाऊ शकतो," ते सांगतात. IMEI क्रमांकासोबतच खासगी ई-मेल अॅड्रेसेस, फोन नंबर्स आणि जन्मतारीखही महत्त्वाची माहिती ठरू शकते. त्याचा वापर खासगी सोशल मीडिया आणि प्रोफेशनल अकाउंट्स हॅक करण्यासाठीही केला जाऊ शकतो.
कायदा काय म्हणतो?
डेटा सुरक्षेसाठी भारतात ठोस असे कायदे नाहीत. मात्र, युरोपीय महासंघाच्या जनरल डेटा प्रोटेक्शन रेग्युलेशनच्या (GDPR) धर्तीवर केंद्र सरकारने 2018 साली खासगी डेटा सुरक्षा विधेयकाचा (Personal Data Protection Bill) मसुदा तयार केला आहे. या विधेयकात सरकारी किंवा खासगी कंपन्यांकडून वैयक्तिक माहिती गोळा करणे, त्याचा वापर आणि साठवणूक तसंच दंड, नुकसान भरपाई आणि आचार संहिता याबाबतचे नियम स्पष्ट करण्यात आले आहेत.
बुधवारी झालेल्या मंत्रिमंडळ बैठकीनंतर घेतलेल्या पत्रकार परिषदेत बोलताना केंद्रीय मंत्री प्रकाश जावडेकर म्हणाले होते, "हे विधेयक लवकरच संसदेत मांडलं जाणार आहे. त्यामुळे या विधेयकाविषयीचा अधिक तपशील मी तुम्हाला आत्ताच देऊ शकत नाही."
