साइबर सुरक्षा शोधकर्ताओं की एक टीम ने पिछले बुधवार को सेबी-पंजीकृत केवाईसी पंजीकरण एजेंसी सीडीएसएल वेंचर्स लिमिटेड (सीवीएल) में एक महत्वपूर्ण सुरक्षा मुद्दे को लाल झंडी दिखा दी, जिसका दावा है कि निवेशकों के संवेदनशील व्यक्तिगत और वित्तीय डेटा तक अनधिकृत पहुंच के लिए इसका फायदा उठाया जा सकता है।
सीवीएल भारत की सबसे बड़ी प्रतिभूति डिपॉजिटरी सेंट्रल डिपॉजिटरी सर्विसेज लिमिटेड की पूर्ण स्वामित्व वाली सहायक कंपनी है। यह निवेशकों की जानकारी के केंद्रीकृत भंडारण और सुरक्षा की सुविधा प्रदान करता है, बाजार के बिचौलियों को पूरी तरह से डिजीटल केवाईसी सेवाएं प्रदान करता है और 4 करोड़ से अधिक निवेशकों की जानकारी रखता है।
भेद्यता मंगलवार को तय की गई थी – सीडीएसएल, राष्ट्रीय तकनीकी अनुसंधान संगठन के तहत राष्ट्रीय महत्वपूर्ण सूचना अवसंरचना संरक्षण केंद्र (एनसीआईआईपीसी) और इलेक्ट्रॉनिक्स और सूचना प्रौद्योगिकी मंत्रालय (एमईआईटीवाई) के तहत सीईआरटी-इन को रिपोर्ट किए जाने के एक सप्ताह बाद।
“हमारे शोधकर्ताओं ने एपीआई (एप्लिकेशन प्रोग्राम इंटरफ़ेस) में से एक में एक प्राधिकरण भेद्यता का पता लगाया, जिसने 2005 से बाजार प्रतिभूतियों केवाईसी प्राप्त करने वाले लगभग 4.39 करोड़ निवेशकों की अत्यंत संवेदनशील व्यक्तिगत और वित्तीय जानकारी प्राप्त करने के लिए दुर्भावनापूर्ण हमले शुरू करने में सक्षम किसी को भी अनुमति दी,” कहा हुआ। चंडीगढ़ स्थित साइबर सुरक्षा परामर्श स्टार्टअप साइबरएक्स9 के संस्थापक हिमांशु पाठक।
संपर्क करने पर, सीडीएसएल के प्रवक्ता ने मंगलवार को एक ईमेल में कहा: “सीडीएसएल स्पष्ट करना चाहेगा कि सीडीएसएल में कोई सुरक्षा समस्या या डेटा उल्लंघन नहीं हुआ है। हालांकि, सीवीएल को सीवीएल की वेबसाइट पर एक भेद्यता चेतावनी मिली है जिसे बाद में कम कर दिया गया है। सीवीएल में कोई डेटा उल्लंघन नहीं हुआ है।” सेबी, एनसीआईआईपीसी और सीईआरटी-इन को टिप्पणी मांगने वाले ईमेल अनुत्तरित रहे।
बाजार प्रतिभूतियों के लिए निवेशक केवाईसी में विस्तारित व्यक्तिगत और वित्तीय डेटा बिंदु शामिल हैं – नाम, पता, लिंग,
वैवाहिक स्थिति, पैन, ईमेल, वार्षिक आय, निवल मूल्य, डीमैट खाता संख्या, दलाल विवरण, ग्राहक आईडी आदि, जो सभी प्राधिकरण भेद्यता के कारण कम से कम 25 अक्टूबर तक सुलभ थे।
केवाईसी डेटा तक पहुंच संभावित रूप से दुर्भावनापूर्ण अभिनेताओं को वित्तीय धोखाधड़ी, पहचान की चोरी, जबरन वसूली, प्रतिरूपण आदि के उद्देश्य से अनुकूलित हमले शुरू करने में सक्षम कर सकती है। दूसरे स्तर पर, इस डेटासेट का उपयोग लक्षित गलत सूचना अभियानों के माध्यम से शेयर बाजार को बाधित करने के लिए भी किया जा सकता है।
19 अक्टूबर को एनटीआरओ के एनसीआईआईपीसी और एमईआईटीवाई के सीईआरटी-इन, कंप्यूटर सुरक्षा घटनाओं पर प्रतिक्रिया देने के लिए राष्ट्रीय नोडल एजेंसी, साइबरएक्स9 ने भेद्यता को चिह्नित करते हुए लिखा: “दुर्भावनापूर्ण हमलावर द्वारा शोषण किए जाने पर इसके अत्यधिक प्रभाव को देखते हुए, हम इस मुद्दे के उपचार की उम्मीद करते हैं जल्दी से जल्दी।” 20 अक्टूबर को, रिकॉर्ड दिखाते हैं, सीईआरटी-इन ने “प्रासंगिक स्क्रीनशॉट” के लिए अनुरोध किया और बाद में “उचित कार्रवाई” के लिए शिकायत दर्ज की।
.
More Stories
सह-यात्रियों के आभूषण, कीमती सामान चुराने वाला व्यक्ति पकड़ा गया; एक साल में 200 उड़ानें भरीं
कनाडा की सबसे बड़ी सोना, नकदी डकैती: 22 मिलियन कनाडाई डॉलर की चोरी के मामले में तीसरा भारतीय मूल का व्यक्ति गिरफ्तार |
चार धाम यात्रा: यमुनोत्री में उमड़ी श्रद्धालुओं की भारी भीड़; अराजकता के बाद पुलिस ने जारी की एडवाइजरी |