चीन कर रहा ओलंपिक ऐप के माध्यम से बड़ी साजिश, साइबर एक्सपर्ट्स ने किया दावा, सामने आई चौंकाने वाली बातें

नई दिल्ली, अनुराग मिश्र/विवेक तिवारी। चीन ने ओलंपिक में हिस्सा लेने आने वाले खिलाड़ियों का स्वास्थ्य और ट्रैवल डाटा एकत्र करने के लिए एक ऐप बनाया है। लेकिन चीन पर इस ऐप के जरिए खिलाड़ियों की निजी जानकारी का दुरुपयोग करने और उनकी जासूसी करने के आरोप लग रहे हैं। इस बात का दावा एक अंतरराष्ट्रीय साइबर एक्सपर्ट्स की एक संस्था ने सुबूतों और तथ्यों के साथ किया है। दावा किया जा रहा है कि इस ऐप के चलते खिलाड़ियों की व्यक्तिगत जानकारी लीक हो सकती है। इस जानकारी का कई तरह से दुरुपयोग होने की भी संभावना जताई जा रही है। टोरंटो की साइबर सिक्योरिटी से जुड़ी संस्था सिटीजन लैब के मुताबिक, चीन की ओर से बनाए गए ऐप में इनक्रिप्शन से जुड़ी कई तरह की तकनीकी खामियां हैं। इससे खिलाड़ियों की व्यक्तिगत जानकारी गलत हाथों में पड़ने की पूरी संभावना है।

चीन में विंटर ओलंपिक 2022 को लेकर तैयारियां तेजी से चल रही हैं। लेकिन चीन की ओर से ओलंपिक में हिस्सा लेने आ रहे खिलाड़ियों का हेल्थ और ट्रेवल डेटा दर्ज करने के लिए एक मोबाइल ऐप MY2022 बनाया है जिसे लेकर कई सवाल उठ रहे हैं। सिटीजन लैब के मुताबिक चीन की ओर से कहा जा रहा है कि कोविड के मामलों पर नजर रखने और उसकी सही रिपोर्टिंग के लिए इस ऐप का इस्तेमाल किया जा रहा है। वहीं ऐप के एक हिस्से में कोरोना टेस्ट के परिणाम भी दर्शाए जाएंगे। लेकिन ये ऐप पूरी तरह से इनक्रिप्टेड न होने से खिलाड़ियों की व्यक्तिगत जानकारियां लीक होने का खतरा है। कश्मीर के स्काइर आरिफ खान इस ओलंपिक में भारत के एकलौते प्रतिभागी होंगे।

ये कहती है साइबर एक्सपर्ट्स की रिपोर्ट

सिटीजन लैब का कहना है कि इस बारे में उसने ओलंपिक कमेटी को भी लिखा है। सिटीजन लेब के अनुसार, MY2022, बीजिंग में 2022 ओलंपिक खेलों में मौजूद सभी लोगों के लिए अनिवार्य ऐप है, जिसमें एक बड़ी खामी है। जहां यूजर्स के वॉयस ऑडियो और फाइल ट्रांसफर की सुरक्षा करने वाले एन्क्रिप्शन की अंदेखी की गई है। पासपोर्ट डिटेल, डेमोग्राफिक जानकारी और चिकित्सा और यात्रा फॉर्म भी असुरक्षित हैं। इस एप सर्वर रिस्पांस को भी धोखा दिया जा सकता है, जिससे साइबर अटैक के जरिए एप यूजर्स को गलत निर्देश दिखा सकता है। ऐप अत्यधिक संवेदनशील चिकित्सा जानकारी एकत्र करता है। ऐसे में यह स्पष्ट नहीं है कि इस एप के माध्यम से एकत्रित करने वाली जानकारी किन संस्थाओं को भेजी जा रही है।

ये उठ रहे सवाल, निगरानी कर रहा चीन

विशेषज्ञों की ओर से सवाल उठाए जा रहे हैं कि चीन की ओर से खिलाड़ियों के फोन में डाउनलोड कराए जा रहे ऐप कहीं चीन में खेलों के दौरान सेंसरशिप और उनकी निगरानी का हिस्सा तो नहीं है। हालांकि, अधिकारियों ने पहले ही कहा है कि एथलीटों को सेल्यूलर सेवाएं दी जाएंगी जो उन्हें फेसबुक, गूगल और ट्विटर जैसी साइटों के इस्तेमाल की अनुमति देंगी।

प्राइवेसी का खुल्लमखुल्ला उल्लंघन

सिटीजन लैब की रिपोर्ट में दावा किया गया है कि उन्होंने दिसंबर में बीजिंग आर्गेनाइजिंग कमेटी के सामने ऐप की खामियों के बारे में सवाल उठाए गए थे। लेकिन कमेटी की ओर से कोई सकारात्मक जवाब नहीं दिया गया। जनवरी में ऐप के सॉफ्टवेयर को अपडेट किया गया। लेकिन अब भी उनमें तकनीकी खामियों को ठीक नहीं किया गया है। ये ऐप को चीन के नए अधिनियमित व्यक्तिगत डेटा सुरक्षा कानूनों के उल्लंघन के साथ-साथ गूगल और ऐप्पल के स्टोर पर ऐप की लिस्टिंग के लिए आवश्यक प्राइवेसी पॉलिसी का उल्लंघन करता हैं। हालांकि गूगल या ऐप्पल ने अब तक इस बारे में कोई प्रतिक्रिया नहीं दी है। गौरतलब है कि चीन की टेक इंडस्ट्री में इनक्रिप्शन की खामियों को लेकर आए दिन सवाल उठते रहे हैं।

कभी भी डाटा में लगाई जा सकती है सेंध

सिटीजन लैब की रिपोर्ट में कहा गया है कि MY2022 सर्वर के साथ एक यूनिक इनक्रिप्शन सिग्नेचर रजिस्टर करने में विफल रहा जहां वह डेटा ट्रांसफर कर रहा था। वास्तव में, इसका मतलब है कि हैकर्स चीनी अधिकारियों की जानकारी के बिना कभी भी डेटा इंटरसेप्ट कर सकते हैं। ऐप के अन्य हिस्से, जैसे इसकी मैसेजिंग सेवा, मेटाडेटा को इनक्रिप्ट करने में विफल रही, जिससे वायरलेस नेटवर्क या टेलीकॉम कंपनियों के लिए यह पता लगाना आसान हो गया कि इस ऐप को इस्तेमाल करने वाला कौन सा व्यक्ति किस समय और किसको मैसेज भेज रहा है। सिटीजन लैब के एक रिसर्चर और रिपोर्ट के लेखकों में से एक जेफरी नॉकेल ने कहा, "आपके द्वारा प्रेषित की जा रही सभी सूचनाओं को इंटरसेप्ट किया जा सकता है, खासकर यदि आप कॉफी शॉप या होटल वाई-फाई सेवा जैसे अविश्वसनीय नेटवर्क पर हैं। जेफरी नॉकेल के मुताबिक ऐसे में कोई भी हैकर कभी भी आपकी संवेदनशील जानकारी को चुका सकता है।

एसएसएल सर्वर को सत्यापित करने में रहा है विफल

जब कोई क्लाइंट सर्वर से कनेक्ट करने के लिए एसएसएल का उपयोग करता है, तो एसएसएल इन्क्रिप्शन और डिजिटल सिग्नेचर तकनीक का उपयोग करता है ताकि ट्रांजिट में डाटा को गोपनीयता रखा जा सके। साथ ही ट्रांसमिशन को क्लाइंट और सर्वर के बीच पढ़ने या संशोधित होने से बचाया जा सके। सिटीजन लैब की रिपोर्ट के अनुसार MY2022 एसएसएल प्रमाणपत्रों (यही सर्टिफिकेट यह तय करता है कि डाटा का लेन देन केवल भरोसेमंद उपकरणों और सर्वर के बीच ही हो) को मान्य करने में विफल रहा है जिससे एक हमलावर ऐप और इन सर्वरों के बीच संचार में हस्तक्षेप करके विश्वसनीय सर्वर को धोखा दे सकता है। रिपोर्ट के अनुसार इन सर्वरों (my2022.beijing2022.cn, tmail.beijing2022.cn, dongaoserver.beijing2022.cn, app.bcia.com.cn, health.customsapp.com) के लिए एसएसएल कनेक्शन असुरक्षित हैं। उदाहरण के लिए, चूंकि ऐप "health.customsapp.com" के लिए एसएसएल प्रमाणपत्र को मान्य नहीं करता है, एक हमलावर, MY2022 और "health.customsapp.com" के बीच संचार में हस्तक्षेप करके, "health.customsapp.com" को धोखा दे सकता है। इससे संवेदनशील पासपोर्ट, यात्रा, और एक सीमा शुल्क स्वास्थ्य घोषणा में बताई गई जानकारी का इस्तेमाल किया जा सकता है।

चीन करता रहा है मनमर्जी

रिपोर्ट में कहा गया है कि यह पहला मामला नहीं है जब चीन की साइबर सुरक्षा में इस तरह की खामी की बात सामने आई हो। इससे पहले भी बिना यूजर्स की सहमति के बैंकिंग ऐप से लेकर वीडियो स्ट्रीमिंग प्लेटफॉर्म तक के चीनी ऐप संवेदनशील उपयोगकर्ता डाटा को एकत्र करते रहे हैं। पिछले कई अध्ययन इस बात की तसदीक करते हैं कि चीन-आधारित मोबाइल ऐप्स में कम आदर्श उपयोगकर्ता सुरक्षा और गोपनीयता नीतियां होती हैं।

सेंसरशिप

सिटिजन लैब के रिसर्चरों ने ऐप में एक टेक्स्ट फाइल भी देखी है जिसका नाम है "इललीगलवर्ड्स.टीएक्सटी" इसमें 2,442 कीवर्ड्स और फ्रेज हैं। मुख्य रूप से ये सरल चाइनीज भाषा के शब्द हैं जिनका इस्तेमाल चीन में आमतौर पर होता है लेकिन इसमें एक हिस्सा उइगुर, तिब्बती, पारंपरिक चाइनीज और अंग्रेजी शब्दों का भी है। इन शब्दों में ज्यादातर अपशब्द हैं लेकिन इसके साथ ही कुछ ऐसे शब्द भी हैं जो साम्यवादी चीन में राजनीतिक रूप से वर्जित है और जिन पर सरकार का प्रतिबंध है।

सीक्रेट काम के लिए सूची

सिटीजन लैब के अनुसार, ऐप में 2,422 राजनीतिक कीवर्ड की एक सूची भी शामिल है, जिसे कोड के भीतर "अवैध शब्द के रूप में वर्णित किया गया है। शोधकर्ताओं के मुताबिक ऐसा लगता है कि ऐप में ये सूची किसी सीक्रेट काम के लिए दी गई है। इसका इस्तेमाल ऐप के जरिए चैट और फाइल स्थानांतरण प्रक्रिया में नहीं होता है। सेंसर किए गए शब्दों की सूचियां चीनी सोशल मीडिया ऐप्स में आसानी से उपलब्ध हैं, और अवांछित राजनीतिक विषयों के प्रसार को रोकने के लिए डिज़ाइन की गई बहुस्तरीय सेंसरशिप प्रणाली में रक्षा की पहली पंक्ति के रूप में काम करती हैं।

अपने खिलाड़ियों को कर सकता है तैयार

साइबर एक्सपर्ट पवन दुग्गल कहते हैं कि साइबर सुरक्षा को ले कर अंतरराष्ट्रीय स्तर पर कोई सख्त कानून या फोरम नहीं है। सभी ने अपने देश की जरूरत के हिसाब से साइबर सुरक्षा के कानून बना रखे हैं। सबसे पहले चीन ने ही अपने देश के हितों को ध्यान में रखते हुए सख्त कानून बनाये हैं। चीन कई बार अपने इन कानूनों का दुरुपयोग भी करता है। किसी असुरक्षित एप के जरिये डेटा एकत्र कर चीन पूरी दुनिया के खिलाड़ियों की स्वास्थ और अन्य व्यक्तिगत कमजोरियों और मजबूती को जान कर अपने खिलाड़ियों को तैयार कर सकता है। सही इनक्रिप्शन न होने से डेटा लीक होने की पूरी संभावना रहती है। वहीं एप के जरिये खिलाड़ियों की जासूसी भी की जा सकती है। ऐसे में सभी देशों को ओलंपिक संघ के सामने इस एप के बारे में सवाल उठाने चाहिए। वही किसी भी तरह का संदेह होने पर एप के इस्तेमाल से इनकार करना चाहिए।

चीन करता रहा है इंटरनेट दुनिया के नियमों को लेकर मनमानी

साइबर एक्सपर्ट रक्षित टंडन बताते हैं कि चीन हमेशा ही इंटरनेट के नियमों को ले कर मनमानी करता रहा है। अगर कोई एप खिलाड़ियों का डेटा कलेक्ट करने के लिए बना है तो उसको पूरी तरह से इनक्रिप्ट होना चाहिए ताकि कोई और इस डाटा में सेंध न लगा सके। साथ ही अगर कोई भी संस्था या व्यक्ति लोगों का डाटा अपने पास स्टोर कर रहा है तो डेटा लाइबिलिटी के तहत पहले तो उस व्यक्ति की अनुमति लेनी चाहिए जिसका डाटा लिया जा रहा है। वहीं जिससे डाटा लिया जा रहा है उसे ये बताया जाना जरूरी है कि डेटा क्यों लिया जा रहा है और उस डाटा का इस्तेमाल क्या होगा। एप के इनक्रिप्शन में अगर किसी भी तरह की कमी है तो ये गंभीर बात है। इसकी जांच होनी चाहिए।

अपने कानून से ही खिलावाड़

चीन के डाटा प्रोटेक्शन कानून के तहत किसी व्यक्ति के स्वास्थ्य से जुड़ी जानकारियों को डिजिटल रूप से रखा जाता है और इसे सिर्फ इनक्रिप्शन के साथ ही प्रसारित किया जा सकता है। ये चीन के निजता कानूनों का सीधा उल्लंघन है।

चीन पर भरोसा नहीं किया जा सकता

साइबर एक्सपर्ट मुकेश चौधरी इसे खतरा मानते हुए कहते हैं कि चीन साइबर ऑपरेशंस को लेकर आक्रामक रहा है। चीन ने पहले भी कहा था कि हम कंप्यूटर को हथियार के तौर पर इस्तेमाल कर सकते हैं। ऐसे में चीन पर भरोसा नहीं किया जा सकता। चीन खेलों को लेकर भी बहुत अग्रेसिव रहा है। एप में इनक्रिप्शन खामी होने पर खिलाड़ियों की बातचीत और डाटा लिया जा सकता है। इससे टीम की रणनीति भी लीक हो सकती है। एप को कंट्रोल करने वाले माइक्रोफोन के जरिये दो खिलाड़ियों की बातचीत या प्लानिंग को सुन सकते हैं। वहीं किस गलत हाथ में खिलाड़ियों की व्यक्तिगत इन्फॉर्मेशन लगने पर मिसयूज हो सकता है। भारत में सरकार जब भी कोई एप लॉन्च करती है तो उस एप का जो भी कंपनी ऑडिट करती है उसे कंप्यूटर इमरजेंसी रेस्पांस टीम से अप्रूवल लेने पड़ता है। ताकि लोगों की जानकारी को सुरक्षित किया जा सके। बिना ऑडिट के एप चलना गलत है। एप आने के पहले उसकी पूरी जांच होनी चाहिए। सेफ टू होस्ट का सर्टिफिकेट मिलने के बाद ही एप का इस्तेमाल होना चाहिए।

दुनिया भर में कदम उठाए जा रहे

यूनाइटेड स्टेट ओलंपिक एंड पैरालंपिक समिति ने चीन पर शक जाहिर करते हुए एक एडवाइजरी में कहा है कि यह माना जाना चाहिए कि प्रत्येक टेक्स्ट, ईमेल, ऑनलाइन विजिट और एप्लिकेशन एक्सेस की निगरानी की जा सकती है या उससे छेड़छाड़ की जा सकती है। अमेरिका ने अपने खिलाड़ियों से बीजिंग में किराए पर या डिस्पोजेबल लैपटॉप और फोन इस्तेमाल करने को कहा है। खिलाड़ियों से ये भी कहा गया है कि अगर वे अपनी पर्सनल डिवाइस ले जा रहे हैं, तो चीन जाने से पहले और बाद में व्यक्तिगत उपकरणों से सभी डेटा को डिलीट कर दें। कनाडा की ओलंपिक समिति ने अपने सदस्यों को सलाह दी है कि वे अपने निजी उपकरणों को घर पर छोड़ने पर विचार करें और अतिरिक्त सतर्क रहें क्योंकि खेलों ने साइबर अपराध के लिए एक अनूठा अवसर दिया है।