'बग बाउंटी प्रोग्राम': आधार डेटा सुरक्षा में कमजोरियों को समझने के लिए UIDAI ने 20 शीर्ष एथिकल हैकर्स को बुलाया

इस तरह की कवायद की लंबे समय से मांग की जा रही है क्योंकि आधार डेटा की सुरक्षा में खामियों के संबंध में कई दावे किए गए हैं। एथिकल हैकर्स विश्व स्तर पर अग्रणी संगठनों के लिए ऐसा करते हैं। News18 ने UIDAI द्वारा 13 जुलाई को जारी एक आदेश को एक्सेस किया है, जिसमें कहा गया है कि उसने अपने सिस्टम पर बग बाउंटी प्रोग्राम चलाने का फैसला किया है।

20 अलग-अलग हैकर्स या समूहों को यूआईडीएआई के सेंट्रल आइडेंटिटी डेटा रिपोजिटरी (सीआईडीआर) का अध्ययन करने का मौका दिया जाएगा, जो दुनिया के सबसे बड़े डिजिटल डेटाबेस 1.32 बिलियन भारतीयों के आधार डेटा को स्टोर करता है। आदेश में कहा गया है, "चयनित उम्मीदवार को हैकरऑन, बगक्राउड जैसे बग बाउंटी लीडर्स बोर्ड के शीर्ष 100 में सूचीबद्ध किया जाना चाहिए या माइक्रोसॉफ्ट, गूगल, फेसबुक, या ऐप्पल आदि जैसी प्रतिष्ठित कंपनियों द्वारा संचालित बाउंटी कार्यक्रमों में सूचीबद्ध होना चाहिए।"

आदेश में कहा गया है, "या उम्मीदवार बग बाउंटी समुदाय या कार्यक्रमों में सक्रिय होना चाहिए और पिछले एक साल में वैध बग जमा करना चाहिए या इनाम प्राप्त करना चाहिए।" उन्हें यूआईडीएआई के साथ एक गैर-प्रकटीकरण समझौते पर हस्ताक्षर करने और उसके निर्देशों का पालन करने की आवश्यकता होगी। यूआईडीएआई ने दिलचस्प रूप से यह भी कहा है कि कार्यक्रम के लिए चुने गए 20 हैकरों के पास "एक वैध आधार संख्या होनी चाहिए और भारतीय निवासी होना चाहिए"।

यूआईडीएआई शायद इस तरह का कार्यक्रम आयोजित करने वाली पहली सरकारी एजेंसी होगी। आदेश से यह स्पष्ट नहीं है कि अभ्यास के लिए एथिकल हैकर्स को भुगतान किया जाएगा या नहीं। लेकिन बोर्ड पर लाए जाने से पहले उन्हें पंजीकृत या सूचीबद्ध किया जाएगा।

यूआईडीएआई का कहना है कि उसका प्रयास सीआईडीआर में होस्ट किए गए आधार डेटा को "कमजोरियों के जिम्मेदार प्रकटीकरण के साथ" सुरक्षित करना है। कोई भी उम्मीदवार पिछले सात वर्षों के दौरान यूआईडीएआई या उसके अनुबंधित प्रौद्योगिकी सहायता और लेखा परीक्षा संगठनों में से एक का वर्तमान या पूर्व कर्मचारी नहीं हो सकता है।

"यदि 20 से अधिक आवेदन प्राप्त होते हैं, तो यूआईडीएआई शीर्ष 20 उपयुक्त उम्मीदवारों का मूल्यांकन करने और चयन करने का अधिकार सुरक्षित रखता है ... उम्मीदवारों की साख, पिछले बग शिकार रिकॉर्ड या संदर्भ और उद्धरणों का आकलन और सत्यापन करने के लिए एक स्वतंत्र समिति तैयार की जाएगी।" आदेश कहता है।

यूआईडीएआई ने यह भी कहा है कि उम्मीदवार या तो एक व्यक्ति या व्यक्तियों का समूह होना चाहिए जो किसी संगठन का प्रतिनिधित्व या गठबंधन नहीं करता है और उसे अपनी व्यक्तिगत क्षमता में भाग लेना चाहिए। 13 जुलाई को जारी आदेश में जोर देकर कहा गया, "यूआईडीएआई आधार सेवाओं के सुरक्षित और सुरक्षित वितरण के लिए अपने मूलभूत सुरक्षा ढांचे को मजबूत करने के लिए लगातार रणनीतिक सुरक्षा पहल करता है।"