हैदराबाद HYDERABAD: तेलंगाना राज्य (टीएस) सीओपी ऐप में हार्डकोडेड पासवर्ड के कारण डेटा उल्लंघन के आरोपों के बाद, तेलंगाना पुलिस तकनीकी सेवा विंग के अधिकारियों ने सुझाव दिया कि यह चूक उपयोगकर्ताओं के लिए ऐप के रिलीज़ होने से पहले हुई होगी।
हैदराबाद स्थित WINC IT 2018 में लॉन्च किए गए एप्लिकेशन के डेवलपर्स में से एक था। 2023 की पहली छमाही तक, टाटा कंसल्टेंसी सर्विसेज (TCS) मुख्य सिस्टम इंटीग्रेटर थी, और बाद में, इसे लार्सन एंड टुब्रो (L&T) ने अपने अधीन कर लिया।
तकनीकी सेवा विंग के एक वरिष्ठ अधिकारी ने TNIE को बताया, "आमतौर पर, डेवलपर्स विकास चरण के दौरान हार्डकोडेड पासवर्ड का उपयोग करते हैं और उपयोगकर्ताओं को ऐप जारी करने से पहले उन्हें सुरक्षित करते हैं।"
पासवर्ड को अनएन्क्रिप्टेड प्लेन टेक्स्ट के रूप में संग्रहीत करने की हतोत्साहित प्रथा, जिसे हार्डकोडेड पासवर्ड के रूप में जाना जाता है, अनधिकृत पहुँच के जोखिम को काफी हद तक बढ़ा देती है, विशेष रूप से दुर्भावनापूर्ण अभिनेताओं द्वारा पासवर्ड का अनुमान लगाने की कोशिश करना।
यह पूछे जाने पर कि कथित हैक कैसे हुआ, अधिकारी ने कहा, "यह समझौता किए गए सिस्टम के एप्लिकेशन प्रोग्रामिंग इंटरफेस (API) के माध्यम से किया जा सकता है। कोई व्यक्ति कमज़ोर API एंडपॉइंट का उपयोग कर सकता है और फिर डेटा प्राप्त करने के लिए किसी अन्य एप्लिकेशन तक पहुँच सकता है।" हालांकि, अधिकारी ने कहा कि यह सब अभी तक अनुमान है और गहन जांच चल रही है। API ऐसे तंत्र हैं जो दो सॉफ़्टवेयर घटकों को एक दूसरे के साथ संवाद करने में सक्षम बनाते हैं। अधिकारी ने दावा किया कि कोई वित्तीय डेटा लीक नहीं हुआ है और TSCOP पर गश्त और निगरानी से संबंधित अधिकांश जानकारी अत्यधिक संवेदनशील डेटा नहीं थी और इसे RTI के माध्यम से एक्सेस किया जा सकता था। खरीदारों को लुभाने के लिए, हैकर ने कथित तौर पर प्लेटफ़ॉर्म पर नमूना डेटा पोस्ट किया, जिसमें अपराधियों के रिकॉर्ड, पुलिस बंदूक लाइसेंस और अन्य कानून प्रवर्तन जानकारी शामिल थी। पुलिस अधिकारियों और स्टेशनों, पदनामों और छवियों के बारे में जानकारी भी खरीद के लिए ऑनलाइन उपलब्ध कराई गई थी। अपराध की रोकथाम में जांच अधिकारियों की सहायता के लिए TSCOP को स्टैंडअलोन टूल फेस रिकग्निशन सिस्टम (FRS) के साथ एकीकृत किया गया है। इसमें अपराधियों या संदिग्धों की पहचान शामिल है। तेलंगाना राज्य पुलिस एसएमएस सेवा की हैकिंग के संबंध में, अधिकारी ने कहा कि धमकी देने वाला अभिनेता 'एडम1एनफ्रेंड' जनता को झूठे संदेश अलर्ट भेजने के लिए आसानी से सेवा का दुरुपयोग नहीं कर सकता। उन्होंने कहा, "ऐसे संदेशों को ट्राई से मंजूरी की आवश्यकता होती है, जो आधिकारिक संचार के माध्यम से नहीं होने पर अनुमति नहीं देगा। यह सब बदमाशों द्वारा सस्ती सनसनी पैदा करने के लिए किया जा रहा है," उन्होंने जोर देकर कहा, तकनीकी सेवा विंग ने यह भी कहा कि एसएमएस सेवा 2022 से बंद है।
यदि कोई चूक होती भी है, तो लीक गैर-गोपनीय डेटा तक ही सीमित होगी, अधिकारी ने बताया। अब तक, तकनीकी सेवा विंग ने विभाग के सभी मोबाइल एप्लिकेशन और वेबसाइटों को अपने नियंत्रण में ले लिया है। अधिकारी ने कहा, "हम भेद्यता मूल्यांकन और प्रवेश परीक्षण (वीएपीटी) कर रहे हैं और उन सभी प्लेटफार्मों पर जांच शुरू कर दी है जहां एक उपयोगकर्ता इंटरफ़ेस है।"
सुरक्षा ऑडिट पर, उन्होंने दावा किया कि विभागीय जांच सुरक्षा ऑडिट की तुलना में अधिक कुशल रही है, और इस तरह की आखिरी जांच लगभग पांच महीने पहले की गई थी। अधिकारी ने बताया, "यह संभव है कि जांच करने वाले व्यक्ति ने दिशा-निर्देशों के कुछ हिस्सों को अनदेखा कर दिया हो और कोई चूक हो सकती है।"
उल्लेखनीय है कि यह तेलंगाना पुलिस के साथ हुआ दूसरा बड़ा डेटा उल्लंघन है, इससे पहले 29 मई को नागरिक-अनुकूल ऐप हॉक आई का डेटा उल्लंघन हुआ था।