पूर्व आईएएस अधिकारी ने चुनाव आयोग के मतदाता प्लेटफार्मों में गंभीर सुरक्षा खामियों को उजागर किया, फोरेंसिक संरक्षण, स्वतंत्र ऑडिट और आपराधिक जवाबदेही की मांग की। उन्होंने एक्स पोस्ट में लिखा, "लोकतंत्र का मजाक उड़ाने के लिए सार्वजनिक संसाधनों का दुरुपयोग किसी भी हाल में स्वीकार्य नहीं है।"
कर्नाटक के आलंद निर्वाचन क्षेत्र में बड़े पैमाने पर मतदाताओं के नाम हटाने के विवाद के बाद अब भारत की चुनावी डिजिटल प्रणालियों की सुरक्षा को लेकर गंभीर सवाल उठ रहे हैं। केरल के पूर्व आईएएस अधिकारी और कार्यकर्ता कन्नन गोपीनाथन ने स्वतंत्र रूप से वोटर हेल्पलाइन ऐप (VHA) और चुनाव आयोग के voters.eci.gov.in पोर्टल की सुरक्षा समीक्षा की है। उनके सत्यापित एक्स (पूर्व में ट्विटर) अकाउंट पर सार्वजनिक रूप से पोस्ट किए गए उनके निष्कर्षों ने डिजिटल युग में संवेदनशील मतदाता डेटा के प्रबंधन और सुरक्षा के लिए चुनाव आयोग की तैयारियों पर गंभीर सवाल खड़े कर दिए हैं।
Mozilla ऑब्ज़र्वेटरी स्कोर: 15/100, चौंकाने वाला ‘F’
गोपीनाथन ने अपनी सुरक्षा जांच के चौंकाने वाले नतीजे साझा करते हुए शुरुआत की। उन्होंने Mozilla Observatory का इस्तेमाल किया - जो वेब एप्लिकेशन सुरक्षा के मानक जांचने का एक व्यापक रूप से सम्मानित टूल है।
उन्होंने लिखा: “Mozilla Observatory स्कोर 15/100 (F) आया। एक जबरदस्त F।” इससे उन प्लेटफॉर्म्स पर बुनियादी सुरक्षा मानकों की घोर उपेक्षा उजागर हुई, जो लाखों भारतीय मतदाताओं के नामांकन, नाम हटाने और संवेदनशील व्यक्तिगत डेटा को हैंडल करते हैं।
CSP अक्षम है, HSTS गायब है, और SameSite कुकीज गायब हैं
तकनीकी कमियों पर गहराई से विचार करते हुए, उन्होंने प्लेटफॉर्म के बैकएंड कॉन्फ़िगरेशन में गंभीर खामियों को उजागर किया। "Content-Security-Policy हेडर अमान्य है। CSP प्रभावी रूप से अक्षम है।" उन्होंने एक महत्वपूर्ण ब्राउजर-साइड सुरक्षा का जिक्र करते हुए बताया जो क्रॉस-साइट स्क्रिप्टिंग हमलों को रोकता है।
उन्होंने आगे कहा, "कोई HSTS नहीं है। सेशन कुकीज में SameSite का अभाव है" और मैन-इन-द-मिडल हमलों और क्रॉस-साइट रिक्वेस्ट जालसाजी को रोकने वाली बुनियादी सुरक्षा के अभाव की ओर ध्यान खींचा। दूसरे शब्दों में, इन प्लेटफॉर्म में मतदाता डेटा को हाईजैक और छेड़छाड़ से बचाने के लिए आवश्यक डिजिटल सीटबेल्ट का अभाव है।
आप पोर्टल को वेबव्यूज़ के अंदर रेंडर कर रहे हैं, यह खतरनाक है: कन्नन
आलोचना सिर्फ बैकएंड पर केंद्रित नहीं थी। गोपीनाथन ने वोटर हेल्पलाइन ऐप के मोबाइल डिजाइन की, ख़ासकर वेबव्यूज़ के इस्तेमाल की आलोचना की-एक ऐसा डिजाइन शॉर्टकट जो वेबसाइटों को मोबाइल ऐप्लिकेशन के अंदर रेंडर करने की अनुमति देता है, लेकिन हमले की संभावना को काफी बढ़ा देता है।
"आपके ऐप्स वेबव्यूज़ के अंदर पोर्टल रेंडर करते हैं। यह सर्वर-साइड की हर खामी को बढ़ा-चढ़ाकर पेश करता है और हमलों को व्यावहारिक बनाता है।" उन्होंने चेतावनी देते हुए कहा कि इस तरह का आर्किटेक्चर हर छोटी-सी कमजोरी को पूरी तरह से शोषण के लिए एक प्रवेश द्वार में बदल देता है।
क्या आप लोग इसी तरह आधा-अधूरा काम करते हैं?
यह सिर्फ तकनीकी कार्रवाई नहीं थी। पूर्व नौकरशाह ने उस व्यापक व्यवस्थागत मानसिकता पर भी सवाल उठाया जिसने लोकतांत्रिक प्रक्रिया से सीधे जुड़े प्लेटफॉर्म पर इन कमजोरियों को बरकरार रहने दिया।
उन्होंने पूछा, "मतदाता नामांकन और नाम हटाने जैसे संवेदनशील काम और आप लोग इसे इस तरह से अधूरा कर रहे हैं?"
गोपीनाथन ने सार्वजनिक बुनियादी ढांचे में डिजिटल सुरक्षा के प्रति संस्थागत उदासीनता की निंदा की।
उन्होंने लिखा, "जनता के पैसे का इस्तेमाल मतदाता सेवाओं का मजाक उड़ाने के लिए किया जा रहा है और शुरू करने से पहले बुनियादी सुरक्षा समीक्षा भी नहीं की जा रही है?" उन्होंने चुनाव आयोग पर लोकतंत्र की सुरक्षा के प्रति लापरवाह रवैया अपनाने का आरोप लगाया।
जवाबदेही तय करें - या जिम्मेदार लोगों को बर्खास्त करें
परिणामों की बात आते ही गोपीनाथन ने कोई कसर नहीं छोड़ी। उन्होंने तत्काल जवाबदेही की मांग की - चाहे प्रशासनिक कार्रवाई हो या आपराधिक मुकदमा।
उन्होंने मांग की, "अगर यह लापरवाही या अक्षमता है, तो जिम्मेदार व्यक्ति को तुरंत बर्खास्त किया जाए। वे इसे चलाने के लिए सक्षम नहीं हैं।" उन्होंने आगे कहा, "अगर यह जानबूझकर किया गया है, तो पूरी तरह से आपराधिक जांच की जाए।"
उनकी टिप्पणियां नागरिक समाज के कार्यकर्ताओं के बीच व्याप्त व्यापक हताशा को दर्शाती हैं, जो कमजोर डिजिटल बुनियादी ढांचे को न केवल एक तकनीकी समस्या बल्कि एक लोकतांत्रिक विफलता मानते हैं।
पूर्ण ऑडिट होने तक सेवाओं को ऑफलाइन रखें
कार्रवाई का आह्वान करते हुए, गोपीनाथन ने पूर्ण, स्वतंत्र सुरक्षा समीक्षा और सुधार होने तक नामांकन और नाम हटाने, दोनों सेवाओं को तत्काल निलंबित करने का अनुरोध किया। उन्होंने सलाह दी, "पूर्ण स्वतंत्र सुरक्षा ऑडिट और सुधार पूरा होने तक नामांकन और नाम हटाने सेवाओं को ऑफलाइन रखें।" उन्होंने इन सेवाओं को उनकी वर्तमान स्थिति में जारी रखने के जोखिम पर जोर दिया।
फोरेंसिक आर्टिफैक्ट्स को संरक्षित करें और SHA-256 हैश जारी करें
एक विस्तृत डिजिटल फोरेंसिक प्लेबुक की ओर बढ़ते हुए गोपीनाथन ने विशिष्ट कदम बताए जो चुनाव आयोग को उठाने चाहिए यदि वे समस्या को ठीक करने और किसी भी पिछली छेड़छाड़ का पता लगाने के लिए गंभीर हैं।
उन्होंने कहा, "सभी फोरेंसिक आर्टिफैक्ट्स को अभी संरक्षित और एक्सपोर्ट करें: CDN, लोड-बैलेंसर, DB ऑडिट और SMS गेटवे लॉग।" उन्होंने आयोग से "SHA-256 हैश की गणना और प्रकाशन करने और एक्सपोर्ट करने के लिए 65B प्रमाणपत्र जारी करने का आग्रह किया ताकि CID उनकी फोरेंसिक जांच कर सके।"
तकनीकी स्पष्टता का यह स्तर, जो सार्वजनिक नीतिगत बहसों में कम ही देखने को मिलता है, गोपीनाथन की नौकरशाही पृष्ठभूमि और नागरिक प्रौद्योगिकी प्रहरी के रूप में उनकी उभरती भूमिका, दोनों को दर्शाता है।
एक प्रवेश परीक्षण (पेनेट्रेशन टेस्ट) करवाएं और रिपोर्ट प्रकाशित करें
उन्होंने अपनी समीक्षा को एक आखिरी सिफारिश के साथ समाप्त किया कि चुनाव आयोग अपने बुनियादी ढांचे का गहन प्रवेश परीक्षण करने के लिए स्वतंत्र विशेषज्ञों को नियुक्त करे और उससे भी अहम बात, पूरे निष्कर्ष सार्वजनिक करे।
उन्होंने जोर देकर कहा, "एक स्वतंत्र प्रवेश परीक्षण का आदेश दिया जाए और पूरी रिपोर्ट और सुधार योजना प्रकाशित की जाए।" उनका तर्क था कि लोकतांत्रिक विश्वास का पुनर्निर्माण केवल पूर्ण पारदर्शिता और जवाबदेही के माध्यम से ही किया जा सकता है।
कन्नन गोपीनाथन कौन हैं?
कन्नन गोपीनाथन केरल के एक पूर्व आईएएस अधिकारी हैं, जिन्हें 2019 में अनुच्छेद 370 के रद्द किए जाने के बाद जम्मू-कश्मीर में संचार व्यवस्था ठप होने और नागरिक अधिकारों पर अंकुश लगाने के विरोध में नौकरी से इस्तीफा देने के लिए जाना जाता है। इंजीनियरिंग पृष्ठभूमि वाले एक टेक्नोक्रेट ने केरल बाढ़ के दौरान अपने व्यावहारिक कार्य के लिए सम्मान हासिल किया और तब से वे लोकतांत्रिक जवाबदेही, डिजिटल पारदर्शिता और नागरिक स्वतंत्रता की वकालत करने वाले एक मुखर कार्यकर्ता के रूप में उभरे हैं।
अपने एक्स हैंडल (@naukarshah) के जरिए गोपीनाथन अक्सर सरकारी प्रणालियों-विशेषकर डिजिटल सार्वजनिक अवसंरचना-की समीक्षा करते हैं और अपनी आलोचनाओं को डेटा-आधारित विश्लेषण और तकनीकी ज्ञान से समर्थन देते हैं। उनका काम नौकरशाही और सक्रियता के बीच सेतु का काम करता है जो जनहित और संवैधानिक मूल्यों के प्रति गहरी प्रतिबद्धता से प्रेरित है।
Related
देशभर में 30 सितंबर तक एसआईआर शुरू करने को लेकर चुनाव आयोग ने राज्यों के चुनाव अधिकारियों को तैयार रहने को कहा
"कोई भी वोट ऑनलाइन नहीं हटाया जा सकता" : चुनाव आयोग ने राहुल गांधी के दावे को खारिज किया, लेकिन डेटा न देने से उठे सवाल
कर्नाटक के आलंद निर्वाचन क्षेत्र में बड़े पैमाने पर मतदाताओं के नाम हटाने के विवाद के बाद अब भारत की चुनावी डिजिटल प्रणालियों की सुरक्षा को लेकर गंभीर सवाल उठ रहे हैं। केरल के पूर्व आईएएस अधिकारी और कार्यकर्ता कन्नन गोपीनाथन ने स्वतंत्र रूप से वोटर हेल्पलाइन ऐप (VHA) और चुनाव आयोग के voters.eci.gov.in पोर्टल की सुरक्षा समीक्षा की है। उनके सत्यापित एक्स (पूर्व में ट्विटर) अकाउंट पर सार्वजनिक रूप से पोस्ट किए गए उनके निष्कर्षों ने डिजिटल युग में संवेदनशील मतदाता डेटा के प्रबंधन और सुरक्षा के लिए चुनाव आयोग की तैयारियों पर गंभीर सवाल खड़े कर दिए हैं।
Mozilla ऑब्ज़र्वेटरी स्कोर: 15/100, चौंकाने वाला ‘F’
गोपीनाथन ने अपनी सुरक्षा जांच के चौंकाने वाले नतीजे साझा करते हुए शुरुआत की। उन्होंने Mozilla Observatory का इस्तेमाल किया - जो वेब एप्लिकेशन सुरक्षा के मानक जांचने का एक व्यापक रूप से सम्मानित टूल है।
उन्होंने लिखा: “Mozilla Observatory स्कोर 15/100 (F) आया। एक जबरदस्त F।” इससे उन प्लेटफॉर्म्स पर बुनियादी सुरक्षा मानकों की घोर उपेक्षा उजागर हुई, जो लाखों भारतीय मतदाताओं के नामांकन, नाम हटाने और संवेदनशील व्यक्तिगत डेटा को हैंडल करते हैं।
CSP अक्षम है, HSTS गायब है, और SameSite कुकीज गायब हैं
तकनीकी कमियों पर गहराई से विचार करते हुए, उन्होंने प्लेटफॉर्म के बैकएंड कॉन्फ़िगरेशन में गंभीर खामियों को उजागर किया। "Content-Security-Policy हेडर अमान्य है। CSP प्रभावी रूप से अक्षम है।" उन्होंने एक महत्वपूर्ण ब्राउजर-साइड सुरक्षा का जिक्र करते हुए बताया जो क्रॉस-साइट स्क्रिप्टिंग हमलों को रोकता है।
उन्होंने आगे कहा, "कोई HSTS नहीं है। सेशन कुकीज में SameSite का अभाव है" और मैन-इन-द-मिडल हमलों और क्रॉस-साइट रिक्वेस्ट जालसाजी को रोकने वाली बुनियादी सुरक्षा के अभाव की ओर ध्यान खींचा। दूसरे शब्दों में, इन प्लेटफॉर्म में मतदाता डेटा को हाईजैक और छेड़छाड़ से बचाने के लिए आवश्यक डिजिटल सीटबेल्ट का अभाव है।
आप पोर्टल को वेबव्यूज़ के अंदर रेंडर कर रहे हैं, यह खतरनाक है: कन्नन
आलोचना सिर्फ बैकएंड पर केंद्रित नहीं थी। गोपीनाथन ने वोटर हेल्पलाइन ऐप के मोबाइल डिजाइन की, ख़ासकर वेबव्यूज़ के इस्तेमाल की आलोचना की-एक ऐसा डिजाइन शॉर्टकट जो वेबसाइटों को मोबाइल ऐप्लिकेशन के अंदर रेंडर करने की अनुमति देता है, लेकिन हमले की संभावना को काफी बढ़ा देता है।
"आपके ऐप्स वेबव्यूज़ के अंदर पोर्टल रेंडर करते हैं। यह सर्वर-साइड की हर खामी को बढ़ा-चढ़ाकर पेश करता है और हमलों को व्यावहारिक बनाता है।" उन्होंने चेतावनी देते हुए कहा कि इस तरह का आर्किटेक्चर हर छोटी-सी कमजोरी को पूरी तरह से शोषण के लिए एक प्रवेश द्वार में बदल देता है।
क्या आप लोग इसी तरह आधा-अधूरा काम करते हैं?
यह सिर्फ तकनीकी कार्रवाई नहीं थी। पूर्व नौकरशाह ने उस व्यापक व्यवस्थागत मानसिकता पर भी सवाल उठाया जिसने लोकतांत्रिक प्रक्रिया से सीधे जुड़े प्लेटफॉर्म पर इन कमजोरियों को बरकरार रहने दिया।
उन्होंने पूछा, "मतदाता नामांकन और नाम हटाने जैसे संवेदनशील काम और आप लोग इसे इस तरह से अधूरा कर रहे हैं?"
गोपीनाथन ने सार्वजनिक बुनियादी ढांचे में डिजिटल सुरक्षा के प्रति संस्थागत उदासीनता की निंदा की।
उन्होंने लिखा, "जनता के पैसे का इस्तेमाल मतदाता सेवाओं का मजाक उड़ाने के लिए किया जा रहा है और शुरू करने से पहले बुनियादी सुरक्षा समीक्षा भी नहीं की जा रही है?" उन्होंने चुनाव आयोग पर लोकतंत्र की सुरक्षा के प्रति लापरवाह रवैया अपनाने का आरोप लगाया।
जवाबदेही तय करें - या जिम्मेदार लोगों को बर्खास्त करें
परिणामों की बात आते ही गोपीनाथन ने कोई कसर नहीं छोड़ी। उन्होंने तत्काल जवाबदेही की मांग की - चाहे प्रशासनिक कार्रवाई हो या आपराधिक मुकदमा।
उन्होंने मांग की, "अगर यह लापरवाही या अक्षमता है, तो जिम्मेदार व्यक्ति को तुरंत बर्खास्त किया जाए। वे इसे चलाने के लिए सक्षम नहीं हैं।" उन्होंने आगे कहा, "अगर यह जानबूझकर किया गया है, तो पूरी तरह से आपराधिक जांच की जाए।"
उनकी टिप्पणियां नागरिक समाज के कार्यकर्ताओं के बीच व्याप्त व्यापक हताशा को दर्शाती हैं, जो कमजोर डिजिटल बुनियादी ढांचे को न केवल एक तकनीकी समस्या बल्कि एक लोकतांत्रिक विफलता मानते हैं।
पूर्ण ऑडिट होने तक सेवाओं को ऑफलाइन रखें
कार्रवाई का आह्वान करते हुए, गोपीनाथन ने पूर्ण, स्वतंत्र सुरक्षा समीक्षा और सुधार होने तक नामांकन और नाम हटाने, दोनों सेवाओं को तत्काल निलंबित करने का अनुरोध किया। उन्होंने सलाह दी, "पूर्ण स्वतंत्र सुरक्षा ऑडिट और सुधार पूरा होने तक नामांकन और नाम हटाने सेवाओं को ऑफलाइन रखें।" उन्होंने इन सेवाओं को उनकी वर्तमान स्थिति में जारी रखने के जोखिम पर जोर दिया।
फोरेंसिक आर्टिफैक्ट्स को संरक्षित करें और SHA-256 हैश जारी करें
एक विस्तृत डिजिटल फोरेंसिक प्लेबुक की ओर बढ़ते हुए गोपीनाथन ने विशिष्ट कदम बताए जो चुनाव आयोग को उठाने चाहिए यदि वे समस्या को ठीक करने और किसी भी पिछली छेड़छाड़ का पता लगाने के लिए गंभीर हैं।
उन्होंने कहा, "सभी फोरेंसिक आर्टिफैक्ट्स को अभी संरक्षित और एक्सपोर्ट करें: CDN, लोड-बैलेंसर, DB ऑडिट और SMS गेटवे लॉग।" उन्होंने आयोग से "SHA-256 हैश की गणना और प्रकाशन करने और एक्सपोर्ट करने के लिए 65B प्रमाणपत्र जारी करने का आग्रह किया ताकि CID उनकी फोरेंसिक जांच कर सके।"
तकनीकी स्पष्टता का यह स्तर, जो सार्वजनिक नीतिगत बहसों में कम ही देखने को मिलता है, गोपीनाथन की नौकरशाही पृष्ठभूमि और नागरिक प्रौद्योगिकी प्रहरी के रूप में उनकी उभरती भूमिका, दोनों को दर्शाता है।
एक प्रवेश परीक्षण (पेनेट्रेशन टेस्ट) करवाएं और रिपोर्ट प्रकाशित करें
उन्होंने अपनी समीक्षा को एक आखिरी सिफारिश के साथ समाप्त किया कि चुनाव आयोग अपने बुनियादी ढांचे का गहन प्रवेश परीक्षण करने के लिए स्वतंत्र विशेषज्ञों को नियुक्त करे और उससे भी अहम बात, पूरे निष्कर्ष सार्वजनिक करे।
उन्होंने जोर देकर कहा, "एक स्वतंत्र प्रवेश परीक्षण का आदेश दिया जाए और पूरी रिपोर्ट और सुधार योजना प्रकाशित की जाए।" उनका तर्क था कि लोकतांत्रिक विश्वास का पुनर्निर्माण केवल पूर्ण पारदर्शिता और जवाबदेही के माध्यम से ही किया जा सकता है।
कन्नन गोपीनाथन कौन हैं?
कन्नन गोपीनाथन केरल के एक पूर्व आईएएस अधिकारी हैं, जिन्हें 2019 में अनुच्छेद 370 के रद्द किए जाने के बाद जम्मू-कश्मीर में संचार व्यवस्था ठप होने और नागरिक अधिकारों पर अंकुश लगाने के विरोध में नौकरी से इस्तीफा देने के लिए जाना जाता है। इंजीनियरिंग पृष्ठभूमि वाले एक टेक्नोक्रेट ने केरल बाढ़ के दौरान अपने व्यावहारिक कार्य के लिए सम्मान हासिल किया और तब से वे लोकतांत्रिक जवाबदेही, डिजिटल पारदर्शिता और नागरिक स्वतंत्रता की वकालत करने वाले एक मुखर कार्यकर्ता के रूप में उभरे हैं।
अपने एक्स हैंडल (@naukarshah) के जरिए गोपीनाथन अक्सर सरकारी प्रणालियों-विशेषकर डिजिटल सार्वजनिक अवसंरचना-की समीक्षा करते हैं और अपनी आलोचनाओं को डेटा-आधारित विश्लेषण और तकनीकी ज्ञान से समर्थन देते हैं। उनका काम नौकरशाही और सक्रियता के बीच सेतु का काम करता है जो जनहित और संवैधानिक मूल्यों के प्रति गहरी प्रतिबद्धता से प्रेरित है।
Related
देशभर में 30 सितंबर तक एसआईआर शुरू करने को लेकर चुनाव आयोग ने राज्यों के चुनाव अधिकारियों को तैयार रहने को कहा
"कोई भी वोट ऑनलाइन नहीं हटाया जा सकता" : चुनाव आयोग ने राहुल गांधी के दावे को खारिज किया, लेकिन डेटा न देने से उठे सवाल