ఓటరు డేటాబేస్‌లో భద్రతా లోపాన్ని పరిశోధకుడు కనుగొన్నారు

ఒక స్వతంత్ర భద్రతా పరిశోధకుడు నేషనల్ వోటర్స్ సర్వీస్ పోర్టల్ (NVSP)లో క్లిష్టమైన హానిని ఎదుర్కొన్నాడు మరియు లొసుగును పూడ్చడానికి సాంకేతిక నిపుణులతో కలిసి పనిచేసిన కంప్యూటర్ ఎమర్జెన్సీ రెస్పాన్స్ టీమ్ (CERT)ని హెచ్చరించాడు.

హైదరాబాద్‌కు చెందిన సైబర్‌ సెక్యూరిటీ సంస్థ హ్యాక్రూ వ్యవస్థాపకుడు/చీఫ్ ఎగ్జిక్యూటివ్ ఆఫీసర్ సాయి కృష్ణ కొత్తపల్లి మాట్లాడుతూ, ఇతర ఓటర్ల నమోదిత ఫోన్ నంబర్‌లకు యాక్సెస్‌ను అందించిన తన ఎలక్టర్ ఫోటో ఐడెంటిటీ కార్డ్ (EPIC)ని డౌన్‌లోడ్ చేస్తున్నప్పుడు దుర్బలత్వంపై పొరపాటు పడ్డానని చెప్పారు. ఒక సాధారణ స్క్రిప్ట్ లోక్‌సభ లేదా అసెంబ్లీ నియోజకవర్గంలోని ఓటర్లందరి ఫోన్ నంబర్‌లను అందుబాటులో ఉంచుతుంది.

ఇండియన్ ఇన్‌స్టిట్యూట్ ఆఫ్ టెక్నాలజీ, గౌహతి పూర్వ విద్యార్థి, Mr. కొత్తపల్లి అక్టోబరు 22, 2021న CERTకి వల్నరబిలిటీ సమర్పణ ద్వారా అలర్ట్‌ని పంపారు. 72 గంటల్లోపు రసీదు ఇవ్వాల్సి ఉన్నప్పటికీ, డిసెంబరులో మాత్రమే అతనికి సమాధానం వచ్చింది. 7, 2021 ఎమర్జెన్సీ రెస్పాన్స్ టీమ్ తగిన చర్య తీసుకోవడానికి సంబంధిత అధికారులతో సంప్రదింపులు జరుపుతోంది. డిసెంబర్ 14, 2021న అతను దుర్బలత్వం సరిదిద్దబడిందని ధృవీకరించాడు.

డేటా లీక్ నిరోధించబడింది

“లొసుగును పూడ్చడం వల్ల పెద్ద డేటా లీక్‌ను నిరోధించడమే కాకుండా – దేశవ్యాప్తంగా అనేక కోట్ల మంది ఓటర్ల వ్యక్తిగత మొబైల్ ఫోన్ నంబర్‌లను బహిర్గతం చేయడం – కానీ ఎన్నికల ప్రక్రియలో సాధ్యమయ్యే స్కామ్‌ను నివారించింది. మొబైల్ నంబర్‌ను యాక్సెస్ చేయడం ద్వారా మరియు నేను కనుగొన్న మరొక దుర్బలత్వాన్ని ఉపయోగించడం ద్వారా, మేము విశ్వసనీయమైన ప్రభుత్వ IDల నుండి వచ్చినట్లుగా కనిపించే SMSని పంపవచ్చు. ఉదాహరణకు, మనం ఓటరుకు ఓటు వేయకుండా తప్పుదారి పట్టించే కొన్ని తప్పుదారి పట్టించే సమాచారాన్ని అతనికి పంపవచ్చు. కాబట్టి ఇది భారతదేశం అంతటా కోట్లాది ఓట్లను ప్రభావితం చేస్తుందని పెద్ద ఎత్తున ఊహించవచ్చు,” అని శ్రీ కొత్తపల్లి చెప్పారు.

అతను హానిని ఎలా ఎదుర్కొన్నాడో వివరిస్తూ, భద్రతా పరిశోధకుడు తన e-EPICని డౌన్‌లోడ్ చేసుకోవడానికి NVPS పోర్టల్‌ని సందర్శించినట్లు చెప్పారు. EPIC నంబర్ మరియు రాష్ట్రం పేరు నమోదు చేసిన తర్వాత, సిస్టమ్ తదుపరి ప్రమాణీకరణ కోసం రిజిస్టర్డ్ మొబైల్ నంబర్‌కు OTPని పంపుతుంది.

“ఇక్కడే దుర్బలత్వం బహిర్గతమైంది. OTP ఓటరు మొబైల్ నంబర్‌కు వెళ్లగా, బ్రౌజర్‌కు పంపబడిన ప్రతిస్పందనలో ఓటరు యొక్క అన్-రెడ్‌డ్యాక్ట్ చేసిన ఫోన్ నంబర్ ఉంది. ఇది స్క్రీన్‌పై కనిపించనప్పటికీ, వెబ్‌సైట్‌లు ఎలా పనిచేస్తాయనే ప్రాథమిక సాంకేతిక పరిజ్ఞానం ఉన్న ఏ వ్యక్తి అయినా దాన్ని ఎలా పొందాలో గుర్తించగలడు, ”అని అతను చెప్పాడు.

EPIC నంబర్లు, పేర్లు మరియు ఇతర ఎన్నికల సంబంధిత మరియు ఓటరు వ్యక్తిగత వివరాలను కలిగి ఉన్న ఎలక్టోరల్ రోల్‌లు ప్రచురించబడ్డాయి మరియు ఎవరైనా యాక్సెస్ చేయడానికి ఆన్‌లైన్‌లో అందుబాటులో ఉంటాయి కాబట్టి, వ్యక్తిగత ఫోన్ నంబర్‌లు, పేర్లు, తండ్రి/భర్తల వివరాలను పొందడానికి ఒక సాధారణ స్క్రిప్ట్‌ను వ్రాయడం మాత్రమే అవసరం. ఒక నియోజకవర్గంలోని ఓటర్లందరి పేరు, EPIC నంబర్లు మరియు నియోజకవర్గాల పేర్లు.

“ఇది మీరు దుర్బలత్వాన్ని దుర్వినియోగం చేయగల అత్యంత ప్రమాదకరమైన మరియు అత్యంత ప్రభావవంతమైన మార్గం. పేర్లు కనిపిస్తున్నందున, ఎన్నికలకు సంబంధించిన స్కామ్‌లలో మతం, కులం లేదా భాష ఆధారంగా దేశంలోని భారీ వర్గాలను ఈ విధంగా లక్ష్యంగా చేసుకోవచ్చు,” అన్నారాయన.