सीडीएसएल के केवाईसी डेटा उल्लंघन ने दो बार 4.39 करोड़ निवेशकों का डेटा उजागर किया: रिपोर्ट

नई दिल्ली: साइबर सुरक्षा परामर्श स्टार्टअप साइबरएक्स9 के अनुसार, सीडीएसएल की सहायक कंपनी सीडीएसएल वेंचर्स लिमिटेड (सीवीएल) की भेद्यता ने 10 दिनों की अवधि में दो बार 4 करोड़ से अधिक भारतीय निवेशकों के व्यक्तिगत और वित्तीय डेटा को उजागर किया है।

सेंट्रल डिपॉजिटरी सर्विसेज (इंडिया) लिमिटेड (सीडीएसएल) एक सेबी पंजीकृत डिपॉजिटरी है और सीडीएसएल वेंचर्स लिमिटेड एक केवाईसी पंजीकरण एजेंसी है जो अलग से भारतीय प्रतिभूति और विनिमय बोर्ड (सेबी) के साथ पंजीकृत है।

सीडीएसएल ने कहा कि सीवीएल ने तत्काल कार्रवाई की है और अब भेद्यता को कम कर दिया गया है।

साइबरएक्स9 के अनुसार, इसने 19 अक्टूबर को सीडीएसएल को भेद्यता की सूचना दी और सिक्योरिटीज डिपॉजिटरी को इसे ठीक करने में लगभग 7 दिन लगे, जिसे तुरंत हल किया जा सकता था।

“हमने प्रकाशन से पहले फिक्स को सत्यापित किया और यह अब शोषक नहीं था। बाद में, 29 अक्टूबर को, हमारी शोध टीम को फिर से काम करना पड़ा और कुछ ही मिनटों में उन्हें फिक्स के लिए एक आसान और पूर्ण बाईपास मिल गया जिसे सीडीएसएल ने पहले पैच करने के लिए लागू किया था। भेद्यता की सूचना दी।

साइबरएक्स9 के संस्थापक और प्रबंध निदेशक हिमांशु पाठक ने पीटीआई को बताया, “सीईआरटी-इन और एनसीआईआईपीसी ने सीडीएसएल के लिए हमारी भेद्यता रिपोर्ट को भी स्वीकार कर लिया है।”

साइबरएक्स9 ने अपने ब्लॉग में कहा कि उजागर हुए डेटा में निवेशकों का नाम, फोन नंबर, ईमेल पता, पैन, आय सीमा, पिता का नाम, जन्म तिथि आदि शामिल हैं।

संपर्क करने पर सीडीएसएल ने कहा कि सीडीएसएल में कोई सुरक्षा समस्या या डेटा भेद्यता नहीं है।

सीडीएसएल ने कहा, “सीवीएल को सीवीएल की वेबसाइट पर एक भेद्यता चेतावनी मिली थी, जिसे तब से कम कर दिया गया है। हम यह बताना चाहेंगे कि सीवीएल ने भेद्यता को कम करने के लिए तत्काल कार्रवाई की है और किसी भी अन्य संभावित सुरक्षा मुद्दों को दूर करने के लिए सक्रिय रूप से काम किया है।”

सीडीएसएल ने कहा कि सेबी के साथ अलग-अलग विनियमित संस्थाओं के रूप में सीडीएसएल और सीवीएल दोनों का स्पष्ट संबंध है।
साइबरएक्स9 ने कहा कि दूसरी बार जब इसकी टीम ने इसकी खोज की तो भेद्यता अत्यधिक जटिल नहीं थी।

साइबरएक्स9 ब्लॉग ने कहा, “हमें पूरी तरह से संदेह है कि दुर्भावनापूर्ण हमलावरों द्वारा डेटा पहले ही चुरा लिया गया है। सरकार द्वारा सीडीएसएल के निष्पक्ष सुरक्षा ऑडिट की आवश्यकता है।”

चंडीगढ़ स्थित साइबर सुरक्षा स्टार्टअप ने कहा कि सीडीएसएल द्वारा उजागर की गई जानकारी ई-मेल समझौता के तथाकथित व्यवसाय में शामिल फिशर्स और स्कैमर के लिए एक आभासी सोने की खान हो सकती है, जो अक्सर व्यक्तियों को बरगलाने के लिए दलालों, बैंकों और व्यवसायों का प्रतिरूपण करती है। और कंपनियां धोखेबाजों को धन हस्तांतरित करने में।

“सीडीएसएल केवाईसी डेटा तक इस तरह की पहुंच के साथ, फिशर और स्कैमर के पास कॉल और ईमेल का उपयोग करने के लिए सम्मोहक स्कैमिंग टेम्प्लेट की अंतहीन आपूर्ति होगी। इस तरह का एक डेटाबेस धोखेबाजों को केवाईसी प्राप्त करने वाले नए निवेशकों की निरंतर फ़ीड भी देगा।” साइबरएक्स9 ने कहा। यह भी पढ़ें: विंडोज 7, 8, 8.1 यूजर्स, अलर्ट! Microsoft 2022 की शुरुआत से इस सेवा की पेशकश बंद कर देगा

बड़ी संख्या में लोगों के संपर्क में आने वाले संवेदनशील व्यक्तिगत और वित्तीय डेटा से वित्तीय धोखाधड़ी, पहचान की चोरी, और लोगों को जबरन वसूली, लोगों के खिलाफ लक्षित हमले आदि जैसी चीजें सामने आ सकती हैं। यह भी पढ़ें: आंध्र प्रदेश सरकार ने पेट्रोल पर वैट में कटौती की , डीजल, अखबार के विज्ञापन से रुख साफ