नेटिज़न्स द्वारा सुरक्षा संबंधी चिंताएँ उठाए जाने के बाद डीजीसीए ने वेबसाइट सेटिंग्स को ठीक किया
सोशल मीडिया उपयोगकर्ताओं द्वारा सार्वजनिक पहुंच के लिए निजी और गोपनीय निर्देशिका सामग्री उपलब्ध होने की बात कहने के बाद विमानन नियामक संस्था नागरिक उड्डयन महानिदेशालय (डीजीसीए) ने बुधवार को अपनी वेबसाइट में सुरक्षा परिवर्तन किए।
डीजीसीए वेबसाइट से जुड़ी सुरक्षा चिंता को सबसे पहले सेवानिवृत्त पायलट शक्ति लुंबा ने ट्विटर पर उजागर किया था। प्राथमिक मुद्दा यह था कि निजी जानकारी जो संबंधित विमानन पेशेवरों, उनके नियोक्ता एयरलाइंस और डीजीसीए के बीच रहनी चाहिए थी, वह बिना किसी प्राधिकरण प्रक्रिया के आम जनता के लिए उपलब्ध थी।
लुंबा, जो पहले इंडिगो में ऑपरेशन के उपाध्यक्ष थे, ने दिन की शुरुआत में ट्विटर पर कहा, "...किसी को यादृच्छिक जानकारी तक पहुंच मिलती है जो आदर्श रूप से सुरक्षित होनी चाहिए, मुझे नहीं पता कि यह अंतर्निहित है या नहीं साइट में पिछला दरवाज़ा। [मैं] सुझाव देता हूं कि दोष दूर होने तक वेबसाइट को बंद रखा जाए।''
संबंधित नेटिज़न्स द्वारा ट्विटर पर डीजीसीए, नागरिक उड्डयन मंत्रालय और केंद्रीय मंत्री ज्योतिरादित्य सिंधिया के साथ मुद्दा उठाए जाने के कई घंटों बाद, बुधवार दोपहर को वेबसाइट की सुरक्षा सेटिंग्स बदल दी गईं। साइबर सुरक्षा खतरा विश्लेषक राकेश कृष्णन का कहना है कि इस तरह की सुरक्षा चूक को 'निर्देशिका सूची के माध्यम से सूचना प्रकटीकरण' के रूप में वर्णित किया जा सकता है। उन्होंने टिप्पणी की, "यह संभावित रूप से एक खतरनाक खतरा है जहां जो कोई भी इस लिंक पर आता है वह पूरे रिकॉर्ड तक पहुंच सकता है।"
जो जानकारी पहले बिना किसी प्रमाणीकरण के उपलब्ध थी, उसमें पायलटों के मेडिकल रिकॉर्ड, व्यक्तिगत रूप से पहचान योग्य जानकारी, निजी रिपोर्ट जो एयरलाइंस ने डीजीसीए के साथ साझा की हैं, आदि शामिल थे। “इस तरह की कोई भी जानकारी का खुलासा अपराधियों के लिए फ़िशिंग जैसे विभिन्न साइबर अपराधों को अंजाम देने के लिए एक खजाना है। पहचान की चोरी, डेटा उल्लंघन, डार्क वेब पर बिक्री, घोटाले आदि,” कृष्णन कहते हैं।
डीजीसीए साइट पर दी गई जानकारी के अनुसार, डीजीसीए की वेबसाइट अमेज़ॅन वेब सर्विसेज (एडब्ल्यूएस) सर्वर पर होस्ट की गई है और टाटा कंसल्टेंसी सर्विसेज (टीसीएस) द्वारा प्रबंधित की जाती है। वेबसाइट का हाल ही में CERT-In पैनल में शामिल सुरक्षा ऑडिटर AKS IT सर्विसेज लिमिटेड द्वारा परीक्षण और ऑडिट किया गया था। भारतीय कंप्यूटर आपातकालीन प्रतिक्रिया टीम (CERT-In) केंद्रीय इलेक्ट्रॉनिक्स और आईटी मंत्रालय के तहत एक नोडल एजेंसी है जो साइबर सुरक्षा खतरों से निपटती है।
यह स्पष्ट नहीं है कि यह सुरक्षा भेद्यता कितने समय से मौजूद थी। डीजीसीए की आईटी टीम को भेजी गई एक विस्तृत प्रश्नावली प्रकाशन के समय अनुत्तरित रही।