BREAKING:
July 17 2026 02:21 am

UMANG ऐप में बड़ी सुरक्षा चूक: करोड़ों यूजर्स का PAN, EPFO और संवेदनशील डाटा एक्सपोज; सरकार ने शुरू किया सुरक्षा सुधार

Post

भारत सरकार के ऑल-इन-वन सरकारी सर्विसेज ऐप UMANG (Unified Mobile Application for New-age Governance) में एक गंभीर सुरक्षा खामी (Security Glitch) सामने आई है। साइबर सिक्योरिटी रिसर्चर्स की एक रिपोर्ट के मुताबिक, इस तकनीकी कमजोरी के चलते करोड़ों भारतीयों का बेहद संवेदनशील डाटा एक्सपोज हो गया था, जिसमें ईपीएफओ (EPFO) के यूनिवर्सल अकाउंट नंबर (UAN), एलपीजी सिलेंडर बुकिंग डिटेल्स और कई सरकारी सेवाओं में दर्ज संवेदनशील व्यक्तिगत विवरण शामिल हैं।

मामले की गंभीरता को देखते हुए इलेक्ट्रॉनिक्स और आईटी मंत्रालय (MeitY) ने तुरंत एक्शन लिया है और इन खामियों को दूर करने के लिए जरूरी कदम उठाने शुरू कर दिए हैं।

प्लेटफॉर्म के आर्किटेक्चर में थी गड़बड़ी, सालों से मौजूद थी खामी

'The Hindu' की एक विशेष रिपोर्ट के अनुसार, इस सुरक्षा चूक का खुलासा स्वतंत्र साइबर सिक्योरिटी रिसर्चर अक्षय सी.एस. और वायरल वाघेला ने किया है। रिसर्चर्स के मुताबिक, यह समस्या किसी एक सेवा तक सीमित नहीं थी, बल्कि उमंग ऐप के बुनियादी ढांचे (Architecture) और एपीआई (API) डिजाइन में मौजूद कमियों से जुड़ी थी। उनका दावा है कि ये कमजोरियां संभवतः कई साल से मौजूद थीं, जिससे अलग-अलग सरकारी डेटाबेस का संवेदनशील डाटा एक्सपोज हो रहा था। हालांकि, राहत की बात यह है कि इस डाटा के किसी बड़े स्तर पर लीक होने या गलत हाथों में जाने की पुष्टि नहीं हुई है।

क्या-क्या डाटा हुआ एक्सपोज?

रिपोर्ट के अनुसार, सुरक्षा चूक के दायरे में निम्नलिखित संवेदनशील जानकारियां आई थीं:

EPFO का UAN नंबर: भविष्य निधि (PF) खातों से जुड़े यूनिवर्सल अकाउंट नंबर।

LPG बुकिंग रिकॉर्ड: कम से कम एक बड़ी सरकारी ऑयल मार्केटिंग कंपनी के सिलेंडर बुकिंग का डेटा।

संवेदनशील व्यक्तिगत विवरण: कई अन्य सरकारी सेवाओं से जुड़े निजी दस्तावेज और पहचान संबंधी विवरण।

रिसर्चर्स ने बताया कि कुछ जगहों पर सुरक्षा मानकों की अनदेखी करते हुए संवेदनशील पहचान विवरण 'Plaintext' (सादे टेक्स्ट) में स्टोर किए गए थे। हालांकि, उन्होंने यह स्पष्ट किया कि उमंग का मुख्य पहचान मॉड्यूल खुद इस खामी से प्रभावित नहीं था।

बैंक खातों पर मंडरा सकता था खतरा: एक्सपर्ट

इंडिपेंडेंट साइबर सिक्योरिटी एक्सपर्ट करण सैनी के अनुसार, वेबसाइट पर 'Rate Limiting' (एक निश्चित समय में सीमित रिक्वेस्ट भेजने की व्यवस्था) होने के कारण पूरे डेटाबेस को एक साथ कॉपी करना तो मुमकिन नहीं था। लेकिन यदि किसी साइबर अपराधी के पास पहले से किसी यूजर का UAN नंबर मौजूद होता, तो वह इस खामी का फायदा उठाकर बैंक अकाउंट की जानकारी बदलने और गलत तरीके से पेमेंट प्रोसेस शुरू करने जैसी वित्तीय धोखाधड़ी को अंजाम दे सकता था। आपको बता दें कि उमंग ऐप पर सबसे ज्यादा इस्तेमाल ईपीएफओ (EPFO) सेवा का ही होता है, जिस पर पिछले तीन महीनों में 40 करोड़ से अधिक ट्रांजैक्शन दर्ज किए गए हैं।

सरकार का पक्ष: डाटा को किया गया एन्क्रिप्ट, निगरानी जारी

इस मामले पर इलेक्ट्रॉनिक्स और आईटी मंत्रालय (MeitY) ने बयान जारी कर कहा है कि उनकी डेवलपमेंट और सिक्योरिटी टीम ने रिपोर्ट मिलते ही तुरंत जांच शुरू कर दी थी।

मंत्रालय के अनुसार, संबंधित APIs में मौजूद सभी प्लेनटेक्स्ट डाटा को अब पूरी तरह एन्क्रिप्ट (Encrypt) कर सुरक्षित कर दिया गया है।

पिछले तीन महीनों के API लॉग्स की भी गहन समीक्षा की गई है, जिसमें फिलहाल किसी भी संदिग्ध या असामान्य गतिविधि (Unusual Activity) के संकेत नहीं मिले हैं।

सरकार ने आश्वासन दिया है कि उमंग पोर्टल की सुरक्षा बढ़ाने के लिए इसकी 24 घंटे लगातार निगरानी की जा रही है।