mlm24
ഇന്ത്യയിലെ ഏറ്റവും വലിയ ഫാർമസി ശൃംഖലകളിലൊന്നിൽ നടന്ന ഗുരുതരമായ ഇന്ത്യൻ ഫാർമസി ഡാറ്റാ ചോർച്ച ആയിരക്കണക്കിന് ഉപഭോക്താക്കളുടെ സ്വകാര്യ വിവരങ്ങൾ അപകടത്തിലാക്കി. പ്രമുഖ ഫാർമസി ശൃംഖലയായ ദവാഇന്ത്യയുടെ (DavaIndia) വെബ്സൈറ്റിലുണ്ടായ ഒരു സുരക്ഷാ പിഴവാണ് ഉപഭോക്താക്കളുടെ ഓർഡർ വിവരങ്ങളും മരുന്ന് നിയന്ത്രണ സംവിധാനങ്ങളും വരെ പുറത്തുനിന്നുള്ളവർക്ക് ലഭ്യമാക്കിയത്.
ഈ സുരക്ഷാ വീഴ്ചയിലൂടെ, ഹാക്കർമാർക്ക് വെബ്സൈറ്റിന്റെ പൂർണ്ണമായ അഡ്മിനിസ്ട്രേറ്റീവ് നിയന്ത്രണം (Administrative Control) നേടാൻ സാധിക്കുമായിരുന്നു. ഇത് ഉപഭോക്താക്കളുടെ ആരോഗ്യ വിവരങ്ങൾ അടങ്ങിയ ഡാറ്റയുടെ സ്വകാര്യതയെക്കുറിച്ച് വലിയ ആശങ്കകളാണ് ഉയർത്തുന്നത്. കേരളത്തിലടക്കം നിരവധി ഉപഭോക്താക്കളുള്ള ഒരു ശൃംഖലയിൽ ഇത്തരമൊരു സംഭവം നടന്നത് ഡിജിറ്റൽ ലോകത്തെ സുരക്ഷയെക്കുറിച്ച് നമ്മെ വീണ്ടും ഓർമ്മിപ്പിക്കുന്നു.
ഉള്ളടക്കം
- എന്താണ് ദവാഇന്ത്യയിൽ സംഭവിച്ച സുരക്ഷാ വീഴ്ച?
- ഈ ഇന്ത്യൻ ഫാർമസി ഡാറ്റാ ചോർച്ച എത്രത്തോളം ഗുരുതരമാണ്?
- ‘സൂപ്പർ അഡ്മിൻ’ അക്കൗണ്ട്: എന്താണ് ഇതിന്റെ അപകടം?
- സുരക്ഷാ വീഴ്ച എങ്ങനെ കണ്ടെത്തി, പരിഹരിച്ചു?
- ഫാർമസി ഡാറ്റ എന്തുകൊണ്ട് അതീവ പ്രാധാന്യമർഹിക്കുന്നു?
- ഉപഭോക്താക്കൾ എന്ന നിലയിൽ നാം എന്ത് ചെയ്യണം?
- ഇന്ത്യയിലെ ഡാറ്റാ സുരക്ഷയുടെ ഭാവി
എന്താണ് ദവാഇന്ത്യയിൽ സംഭവിച്ച സുരക്ഷാ വീഴ്ച?
സോട്ട ഹെൽത്ത്കെയറിന്റെ (Zota Healthcare) ഫാർമസി വിഭാഗമായ ദവാഇന്ത്യ, ഇന്ത്യയിലുടനീളം 2300-ൽ അധികം റീട്ടെയിൽ സ്റ്റോറുകളുള്ള ഒരു ഭീമൻ ശൃംഖലയാണ്. ഇവരുടെ വെബ്സൈറ്റിലും ആപ്ലിക്കേഷനിലുമാണ് ഗുരുതരമായ സുരക്ഷാ പിഴവ് കണ്ടെത്തിയത്. ഈറ്റൺ സ്വെയർ എന്ന സൈബർ സുരക്ഷാ ഗവേഷകനാണ് ഈ അപകടം ആദ്യമായി തിരിച്ചറിഞ്ഞത്.
ദവാഇന്ത്യയുടെ വെബ്സൈറ്റിൽ സുരക്ഷിതമല്ലാത്ത “സൂപ്പർ അഡ്മിൻ” ആപ്ലിക്കേഷൻ പ്രോഗ്രാമിംഗ് ഇന്റർഫേസുകൾ (APIs) ഉണ്ടായിരുന്നതാണ് പ്രശ്നത്തിന് കാരണം. സാധാരണയായി, ഇത്തരം അഡ്മിൻ പാനലുകൾക്ക് ശക്തമായ പാസ്വേഡുകളും സുരക്ഷാ സംവിധാനങ്ങളും ഉണ്ടാകും. എന്നാൽ ഇവിടെ, യാതൊരുവിധ സുരക്ഷാ പരിശോധനകളുമില്ലാതെ ആർക്കും ഒരു “സൂപ്പർ അഡ്മിൻ” അക്കൗണ്ട് ഉണ്ടാക്കാൻ സാധിക്കുമായിരുന്നു.
ഈ പിഴവ് കണ്ടെത്തിയ ഉടൻ തന്നെ ഗവേഷകൻ ഇന്ത്യൻ സൈബർ സുരക്ഷാ ഏജൻസിയായ CERT-In-നെ വിവരമറിയിച്ചു. തുടർന്ന് അധികൃതരുടെ ഇടപെടലിലൂടെ ഈ സുരക്ഷാ വീഴ്ച പരിഹരിക്കുകയായിരുന്നു. എന്നാൽ, ഈ പിഴവ് 2024-ന്റെ അവസാനത്തോടെ നിലവിലുണ്ടായിരുന്നു എന്നാണ് സിസ്റ്റം ടൈംസ്റ്റാമ്പുകൾ സൂചിപ്പിക്കുന്നത്.
ഈ ഇന്ത്യൻ ഫാർമസി ഡാറ്റാ ചോർച്ച എത്രത്തോളം ഗുരുതരമാണ്?
ഒരു സാധാരണ ഡാറ്റാ ചോർച്ച പോലെയല്ല ഇത്. ഒരു ഫാർമസിയുടെ വിവരങ്ങൾ ചോരുമ്പോൾ, അത് വ്യക്തികളുടെ ആരോഗ്യപരമായ സ്വകാര്യതയെക്കൂടിയാണ് ബാധിക്കുന്നത്. ഈ സുരക്ഷാ വീഴ്ചയുടെ പ്രത്യാഘാതങ്ങൾ വളരെ വലുതാണ്. ചോർന്ന വിവരങ്ങളിൽ താഴെ പറയുന്നവ ഉൾപ്പെടുന്നു:
- ഉപഭോക്താക്കളുടെ പൂർണ്ണമായ വിവരങ്ങൾ: പേര്, ഫോൺ നമ്പർ, ഇമെയിൽ ഐഡി, വീട്ടുവിലാസം എന്നിവയെല്ലാം ഇതിൽ ഉൾപ്പെടും.
- ഓർഡർ വിവരങ്ങൾ: ഓരോ ഉപഭോക്താവും വാങ്ങിയ മരുന്നുകളുടെ പൂർണ്ണമായ ലിസ്റ്റ്. ഇത് ഒരു വ്യക്തിയുടെ രോഗാവസ്ഥയെക്കുറിച്ചുള്ള സൂചന നൽകാൻ പര്യാപ്തമാണ്.
- സാമ്പത്തിക വിവരങ്ങൾ: ഓർഡറുകൾക്കായി നൽകിയ തുകയുടെ വിവരങ്ങളും ലഭ്യമായിരുന്നു.
ഗവേഷകന്റെ കണ്ടെത്തൽ പ്രകാരം, ഏകദേശം 17,000 ഓൺലൈൻ ഓർഡറുകളുടെ വിവരങ്ങളാണ് ഈ സുരക്ഷാ വീഴ്ചയിലൂടെ പുറത്തായത്. കൂടാതെ, 883 സ്റ്റോറുകളുടെ അഡ്മിനിസ്ട്രേറ്റീവ് നിയന്ത്രണങ്ങളും ഇതിലൂടെ നേടാമായിരുന്നു. ഇത് കേവലം ഒരു ഇന്ത്യൻ ഫാർമസി ഡാറ്റാ ചോർച്ച എന്നതിലുപരി, ഒരു വലിയ ശൃംഖലയുടെ പ്രവർത്തനത്തെത്തന്നെ അട്ടിമറിക്കാൻ സാധ്യതയുള്ള ഒന്നായിരുന്നു.
‘സൂപ്പർ അഡ്മിൻ’ അക്കൗണ്ട്: എന്താണ് ഇതിന്റെ അപകടം?
ഒരു വെബ്സൈറ്റിന്റെയോ ആപ്ലിക്കേഷന്റെയോ സമ്പൂർണ്ണ നിയന്ത്രണമുള്ള അക്കൗണ്ടിനെയാണ് ‘സൂപ്പർ അഡ്മിൻ’ എന്ന് പറയുന്നത്. സാധാരണയായി കമ്പനിയുടെ ഏറ്റവും ഉയർന്ന സാങ്കേതിക വിദഗ്ദ്ധർക്ക് മാത്രമാണ് ഈ സൗകര്യം ലഭ്യമാവുക. എന്നാൽ ദവാഇന്ത്യയുടെ കാര്യത്തിൽ, ആർക്കും ഇത്തരമൊരു അക്കൗണ്ട് ഉണ്ടാക്കാമെന്ന അവസ്ഥയായിരുന്നു.
ഇത്തരമൊരു അക്കൗണ്ട് കൈവശമുള്ള ഒരാൾക്ക് ചെയ്യാൻ കഴിയുന്ന കാര്യങ്ങൾ ഭയാനകമാണ്:
- ഉൽപ്പന്നങ്ങളുടെ വില മാറ്റുക: ഏത് മരുന്നിന്റെയും വില കൂട്ടാനും കുറയ്ക്കാനും സാധിക്കും.
- ഡിസ്കൗണ്ട് കൂപ്പണുകൾ ഉണ്ടാക്കുക: വ്യാജ ഡിസ്കൗണ്ടുകൾ നൽകി ഉപഭോക്താക്കളെ കബളിപ്പിക്കാനും സാമ്പത്തിക നേട്ടമുണ്ടാക്കാനും കഴിയും.
- പ്രിസ്ക്രിപ്ഷൻ നിയമങ്ങൾ മാറ്റുക: ഡോക്ടറുടെ കുറിപ്പടി ആവശ്യമുള്ള മരുന്നുകൾ, കുറിപ്പടിയില്ലാതെ വിൽക്കാൻ ക്രമീകരണങ്ങൾ മാറ്റാൻ സാധിക്കുമായിരുന്നു. ഇത് മരുന്നുകളുടെ ദുരുപയോഗത്തിന് വഴിവെച്ചേക്കാം.
- വെബ്സൈറ്റ് ഉള്ളടക്കം മാറ്റുക: വെബ്സൈറ്റിൽ തെറ്റായ വിവരങ്ങൾ നൽകാനോ, വെബ്സൈറ്റിന്റെ രൂപം തന്നെ മാറ്റാനോ (Defacement) സാധിക്കുമായിരുന്നു.
ഇത്രയും വലിയ അധികാരങ്ങൾ ഒരു സുരക്ഷയുമില്ലാതെ തുറന്നുകിടന്നത് ദവാഇന്ത്യയുടെ ഭാഗത്തുനിന്നുണ്ടായ അതീവ ഗുരുതരമായ വീഴ്ചയാണ് കാണിക്കുന്നത്.
സുരക്ഷാ വീഴ്ച എങ്ങനെ കണ്ടെത്തി, പരിഹരിച്ചു?
ഈറ്റൺ സ്വെയർ എന്ന ഗവേഷകൻ 2025 ഓഗസ്റ്റിലാണ് ഈ പ്രശ്നം CERT-In (Indian Computer Emergency Response Team) എന്ന ദേശീയ സൈബർ സുരക്ഷാ ഏജൻസിയെ അറിയിക്കുന്നത്. CERT-In ഇന്ത്യയിലെ സൈബർ സുരക്ഷാ ഭീഷണികൾ കൈകാര്യം ചെയ്യുന്നതിനുള്ള കേന്ദ്ര സർക്കാർ സ്ഥാപനമാണ്.
വിവരം ലഭിച്ചയുടൻ ഏജൻസി ദവാഇന്ത്യയുമായി ബന്ധപ്പെട്ടു. ഏതാനും ആഴ്ചകൾക്കുള്ളിൽ തന്നെ ഈ സുരക്ഷാ പിഴവ് പരിഹരിക്കപ്പെട്ടു. എന്നാൽ, പ്രശ്നം പൂർണ്ണമായി പരിഹരിച്ചുവെന്ന് കമ്പനി ഔദ്യോഗികമായി സ്ഥിരീകരിക്കാൻ നവംബർ അവസാനം വരെ സമയമെടുത്തു. ഈ കാലതാമസം കമ്പനിയുടെ സുതാര്യതയെക്കുറിച്ചുള്ള ചോദ്യങ്ങൾ ഉയർത്തുന്നുണ്ട്.
ഈ പിഴവ് മറ്റാരെങ്കിലും മുതലെടുത്ത് ഡാറ്റ ദുരുപയോഗം ചെയ്തതായി ഇതുവരെ തെളിവുകളൊന്നും ലഭിച്ചിട്ടില്ല എന്നത് ആശ്വാസകരമാണ്. എന്നിരുന്നാലും, ഇത്രയും കാലം ഇങ്ങനെയൊരു പഴുത് നിലനിന്നിരുന്നു എന്നത് തന്നെ ആശങ്കാജനകമാണ്.
ഫാർമസി ഡാറ്റ എന്തുകൊണ്ട് അതീവ പ്രാധാന്യമർഹിക്കുന്നു?
ഒരു ഇ-കൊമേഴ്സ് സൈറ്റിൽ നിന്ന് നിങ്ങളുടെ വിലാസമോ ഫോൺ നമ്പറോ ചോരുന്നത് പോലെയല്ല ഒരു ഫാർമസിയിൽ നിന്ന് വിവരങ്ങൾ ചോരുന്നത്. ഫാർമസി ഓർഡറുകളിലെ വിവരങ്ങൾ ഒരു വ്യക്തിയുടെ ആരോഗ്യപരമായ കാര്യങ്ങളിലേക്ക് വെളിച്ചം വീശുന്നവയാണ്. ഉദാഹരണത്തിന്, ഒരാൾ സ്ഥിരമായി പ്രമേഹത്തിനോ, ഹൃദ്രോഗത്തിനോ, അല്ലെങ്കിൽ മാനസികാരോഗ്യ പ്രശ്നങ്ങൾക്കോ മരുന്ന് വാങ്ങുന്നുണ്ടെങ്കിൽ ആ വിവരം പുറത്താകുന്നത് സാമൂഹികമായി പല പ്രത്യാഘാതങ്ങളും ഉണ്ടാക്കിയേക്കാം.
ഇത്തരം വിവരങ്ങൾ ഇൻഷുറൻസ് കമ്പനികൾക്കോ, തൊഴിൽ ദാതാക്കൾക്കോ ലഭിച്ചാൽ അത് വ്യക്തിയുടെ ഭാവിയെത്തന്നെ ബാധിച്ചേക്കാം. അതുകൊണ്ടാണ് ഫാർമസി ഡാറ്റയ്ക്ക് അതീവ സുരക്ഷ നൽകണമെന്ന് നിയമങ്ങൾ അനുശാസിക്കുന്നത്. ഈ ഇന്ത്യൻ ഫാർമസി ഡാറ്റാ ചോർച്ച അത്തരം നിയമങ്ങളുടെ ലംഘനം കൂടിയാണ്.
ഉപഭോക്താക്കൾ എന്ന നിലയിൽ നാം എന്ത് ചെയ്യണം?
ദവാഇന്ത്യയുടെ ഈ സംഭവം നമുക്കെല്ലാവർക്കും ഒരു പാഠമാണ്. ഓൺലൈനായി മരുന്നുകൾ വാങ്ങുമ്പോഴും മറ്റ് സേവനങ്ങൾ ഉപയോഗിക്കുമ്പോഴും ചില കാര്യങ്ങൾ ശ്രദ്ധിക്കേണ്ടതുണ്ട്. കേരളത്തിലെ ഉപഭോക്താക്കൾക്ക് സ്വീകരിക്കാവുന്ന ചില മുൻകരുതലുകൾ താഴെ നൽകുന്നു:
- ശക്തമായ പാസ്വേഡുകൾ ഉപയോഗിക്കുക: എല്ലാ ഓൺലൈൻ അക്കൗണ്ടുകൾക്കും വ്യത്യസ്തവും സങ്കീർണ്ണവുമായ പാസ്വേഡുകൾ ഉപയോഗിക്കാൻ ശ്രമിക്കുക.
- ടു-ഫാക്ടർ ഓതന്റിക്കേഷൻ (2FA): സാധ്യമാകുന്നിടത്തെല്ലാം ടു-ഫാക്ടർ ഓതന്റിക്കേഷൻ എനേബിൾ ചെയ്യുക. ഇത് നിങ്ങളുടെ അക്കൗണ്ടിന് ഒരു അധിക സുരക്ഷാ കവചം നൽകും.
- വിശ്വസനീയമായ പ്ലാറ്റ്ഫോമുകൾ തിരഞ്ഞെടുക്കുക: ഓൺലൈനായി മരുന്ന് വാങ്ങുമ്പോൾ, സുരക്ഷാ സംവിധാനങ്ങളെക്കുറിച്ച് വ്യക്തമായ ധാരണ നൽകുന്ന വിശ്വസനീയമായ പ്ലാറ്റ്ഫോമുകൾ മാത്രം തിരഞ്ഞെടുക്കുക.
- അനാവശ്യ വിവരങ്ങൾ നൽകാതിരിക്കുക: രജിസ്റ്റർ ചെയ്യുമ്പോൾ ആവശ്യമുള്ള വിവരങ്ങൾ മാത്രം നൽകുക. അമിതമായ വ്യക്തിഗത വിവരങ്ങൾ ചോദിക്കുന്ന സൈറ്റുകളെ സംശയത്തോടെ കാണുക.
- ഇടയ്ക്കിടെ അക്കൗണ്ട് പരിശോധിക്കുക: നിങ്ങളുടെ ഓർഡർ ഹിസ്റ്ററിയും അക്കൗണ്ട് വിവരങ്ങളും ഇടയ്ക്കിടെ പരിശോധിച്ച് സംശയാസ്പദമായ എന്തെങ്കിലും ഇടപാടുകൾ നടന്നിട്ടുണ്ടോ എന്ന് ഉറപ്പുവരുത്തുക.
ഇന്ത്യയിലെ ഡാറ്റാ സുരക്ഷയുടെ ഭാവി
ദവാഇന്ത്യയുടെ സംഭവം ഒറ്റപ്പെട്ട ഒന്നല്ല. ഇന്ത്യ അതിവേഗം ഡിജിറ്റൽവൽക്കരിക്കപ്പെടുമ്പോൾ, ഡാറ്റാ സുരക്ഷ ഒരു വലിയ വെല്ലുവിളിയായി മാറുകയാണ്. സോട്ട ഹെൽത്ത്കെയർ പോലുള്ള കമ്പനികൾ അടുത്ത രണ്ടുവർഷത്തിനുള്ളിൽ 1500 പുതിയ സ്റ്റോറുകൾ കൂടി തുറക്കാൻ പദ്ധതിയിടുമ്പോൾ, അവരുടെ ഡിജിറ്റൽ അടിസ്ഥാന സൗകര്യങ്ങളുടെ സുരക്ഷ ഉറപ്പാക്കേണ്ടത് അത്യാവശ്യമാണ്.
ഇന്ത്യ അടുത്തിടെ പാസാക്കിയ ഡിജിറ്റൽ പേഴ്സണൽ ഡാറ്റാ പ്രൊട്ടക്ഷൻ ആക്ട് (DPDP Act) പോലുള്ള നിയമങ്ങൾ ഈ രംഗത്ത് വലിയ മാറ്റങ്ങൾ കൊണ്ടുവരുമെന്ന് പ്രതീക്ഷിക്കുന്നു. ഉപഭോക്താക്കളുടെ ഡാറ്റ സുരക്ഷിതമായി സൂക്ഷിക്കുന്നതിൽ കമ്പനികൾക്ക് കൂടുതൽ ഉത്തരവാദിത്തം നൽകുന്നതാണ് പുതിയ നിയമം. ഇത്തരം നിയമങ്ങൾ കർശനമായി നടപ്പിലാക്കുകയും, കമ്പനികൾ സുരക്ഷയ്ക്ക് കൂടുതൽ പ്രാധാന്യം നൽകുകയും ചെയ്താൽ മാത്രമേ ഭാവിയിൽ ഇത്തരം ഇന്ത്യൻ ഫാർമസി ഡാറ്റാ ചോർച്ച പോലുള്ള സംഭവങ്ങൾ ആവർത്തിക്കാതിരിക്കുകയുള്ളൂ.
ഉപഭോക്താക്കൾ എന്ന നിലയിൽ നമ്മളും ജാഗ്രത പാലിക്കണം. നമ്മുടെ സ്വകാര്യ വിവരങ്ങളുടെ വില തിരിച്ചറിഞ്ഞ് അത് സംരക്ഷിക്കാൻ ആവശ്യമായ നടപടികൾ സ്വീകരിക്കേണ്ടത് ഓരോ വ്യക്തിയുടെയും കടമയാണ്.
