लॉकडाउन, पीएम केयर्स फंड और प्रवासी मज़दूरों की घर वापसी के अलावा आरोग्य सेतु ऐप भी कोरोना महामारी के दौरान भारत में सबसे ज़्यादा विवाद और चर्चाओं के केंद्र में रहा है. भारत सरकार का दावा है कि उसने इस ऐप को कोविड-19 से लड़ाई के दौरान आवश्यक स्वास्थ्य सेवाओं को लोगों तक पहुंचाने के लिए तैयार किया है. आरोग्य सेतु ऐप के बारे में बताया गया है कि यदि इसका यूज़र किसी कोरोना संक्रमित या संदिग्ध व्यक्ति के संपर्क में आएगा तो उसके मोबाइल पर इस बात का नोटिफिकेशन आ जाएगा. हालांकि इसके लिए उस दूसरे व्यक्ति का भी आरोग्य सेतु ऐप का यूज़र होना आवश्यक है. और यह भी ज़रूरी है कि उस व्यक्ति ने ऐप में अपने स्वास्थ्य से जुड़ी सही जानकारी भरी हो.

लेकिन कोरोना से निपटने की मोदी सरकार की यह क़वायद कइयों को कुछ खास पसंद नहीं आई है. आरोग्य सेतु ऐप से आपत्ति की सबसे बड़ी वजह लोगों के निजता के अधिकार से जुड़ी है. बताया जा रहा है कि यह एप्लिकेशन ओपन सोर्स सॉफ्टवेयर नहीं है. दिल्ली की एक सॉफ्टवेयर कंपनी में काम करने वाले आशीष बंसल के मुताबिक आसान भाषा में समझें तो ओपन सोर्स सॉफ़्टवेयर वे होते हैं जिनके प्रोग्रामिंग कोड को यूज़र्स से नहीं छिपाया जाता है. यूज़र चाहें तो उस कोड को पढ़ सकते हैं, उस कोड की ख़ामियों को सुधार सकते हैं या उससे एक नया सॉफ़्टवेयर बना सकते हैं और उसे अपनी आवश्यकता के अनुसार किसी अन्य उपयोग में भी ले सकते हैं.

अलग-अलग समझ वाले कई लोग, जिनकी संख्या सैंकड़ों या उससे ज्यादा भी हो सकती है, यदि किसी सॉफ्टवेयर में सुधार करते रहें तो वह आगे जाकर अपने शुरुआती रूप से काफी उन्नत हो सकता है. ऐसे सॉफ्टवेयर का उपयोग अन्य उद्देश्यों के लिए भी किया जा सकता है. यदि आरोग्य सेतु ऐप की ही बात करें तो यह देश में स्वास्थ्य व्यवस्था संभालने में तो मदद कर ही रहा है, लेकिन इसमें कुछ जरूरी बदलाव और कल्पना का इस्तेमाल करके शायद इसका उपयोग किसी पंचायत में शिक्षा का स्तर सुधारने में भी किया जा सकता है!

भारत सरकार भी अपने आप को ओपन सोर्स सॉफ़्टवेयर को बढ़ावा देने के लिए प्रतिबद्ध बताती है. सरकार का मानना है कि वह इस तरह के सॉफ़्टवेयर की मदद से देश के आर्थिक और सामरिक हितों को साधते हुए डिजिटल इंडिया के लक्ष्य को जल्द हासिल कर सकती है.

चूंकि ओपन सोर्स सॉफ़्टवेयर में किसी तरह की गोपनीयता नहीं बरती जाती इसलिए उनके मामले में यह पता लगाना आसान होता है कि वे किसी के निजी डेटा में तांक-झांक करने के बजाय सिर्फ़ वही काम कर रहे हैं या नहीं जो हमें बताये जा रहे है. लेकिन आरोग्य सेतु के मामले में इस जांच की गुंजाइश नहीं है. यही बात कई लोगों को इस ऐप पर संदेह करने की बड़ी वजह दे देती है.

आरोग्य सेतु की प्राइवेसी पॉलिसी के मुताबिक़ यह ऐप डेटा के तौर पर हम से हमारा नाम, फ़ोन नंबर, उम्र, लिंग, व्यवसाय, बीते तीस दिनों में की गई विदेश यात्रा, धूम्रपान की आदत और स्वास्थ्य से जुड़ी जानकारियां मांगता है. इसके अलावा यह एप्लिकेशन अपने रजिस्टर्ड यूज़र्स की लोकेशन का भी रिकॉर्ड रखता है ताकि ज़रूरत पड़ने पर यह पता लगाया जा सके कि उनमें से कौन, कब, किसके संपर्क में आया था.

इसकी पॉलिसी का खंड 2 () कहता है किहमसे लिया गया डेटा भारत सरकार के पास सुरक्षित रहेगा और कोविड-19 से निपटने में इस्तेमाल किया जाएगा.’ लेकिन यहां यह भी कहा गया है कि ज़रूरत पड़ने पर हमारी निजी जानकारी उन लोगों के साथ साझा की जा सकती है जिन्हें इस महामारी के दौरान चिकित्सा और प्रशासनिक व्यवस्थाओं में आवश्यक हस्तक्षेप करने के लिए अधिकृत किया जाएगा. इस बात ने जानकारों का ध्यान खींचा है. क्योंकि यहां यह साफ़ नहीं किया गया है कि ये लोग कौन हो सकते हैं? विश्लेषक अंदेशा जताते हैं कि कोरोना की आड़ में सरकार को चलाने वाले लोग अपनी पसंद के लोगों तक यह डेटा पहुंचाने की कोशिश कर सकते हैं.

इसके अलावा इस आरोग्य सेतु की पॉलिसी में यह भी कहीं स्पष्ट नहीं किया गया है कि यदि यह ऐप कोई ग़लत जानकारी उपलब्ध करा दे और उसके चलते किसी यूज़र को नुकसान उठाना पड़ जाए तो उसके लिए कौन ज़िम्मेदार होगा? इस ऐप के डेवलपर या भारत सरकार ख़ुद? साथ ही यहां इस बात का भी ज़िक्र नहीं है कि किसी यूज़र का डेटा चोरी होने की स्थिति में किस की जिम्मेदारी तय की जाएगी? ज़ाहिर तौर पर यह एक बड़ी चिंता का विषय है.

कांग्रेस के पूर्व अध्यक्ष राहुल गांधी ने हाल ही में इस एप्लिकेशन से जुड़े इस ख़तरे की बात करते हुए एक ट्वीट किया था - ‘आरोग्य सेतु ऐप एक अत्याधुनिक सर्विलांस सिस्टम है जिसका ठेका किसी संस्थागत निगरानी के बिना एक प्राइवेट ऑपरेटर को दिया गया. इससे डेटा सुरक्षा और प्राइवेसी को लेकर गंभीर चिंताएं खड़ी हो रही हैं. तकनीक हमें सुरक्षित रखने में मदद कर सकती है, लेकिन डर का फायदा उठाकर लोगों को उनकी सहमति के बिना ट्रैक नहीं किया जाना चाहिए.’

राहुल गांधी के इस ट्वीट का जवाब देते हुए कानून और न्याय मंत्री रवि शंकर प्रसाद ने भी कुछ ट्वीट किये. उन्होंने लिखा कि आरोग्य सेतु की सराहना पूरी दुनिया में हो रही है. इस एप की निगरानी की जिम्मेदारी किसी निजी कंपनी के हाथ में नहीं दी गई है. रविशंकर प्रसाद ने आगे लिखा, ‘आरोग्य सेतु एक सशक्त साथी है, जो लोगों को बचाता है. इसका डेटा सुरक्षा स्ट्रक्चर बहुत मजबूत है. जिन लोगों ने अपना पूरा जीवन निगरानी करने में गुजारा हो, वो नहीं जान सकते कि तकनीकी का अच्छे के लिए इस्तेमाल कैसे किया जा सकता है.’

लेकिन इस पूरे मामले में नाटकीय मोड़ तब आ गया जब फ़्रांस के एक हैकर ने राहुल गांधी की आशंका सच होने का दावा किया. इलियट एल्डरसन उपनाम का यह हैकर दुनिया भर के सरकारी सॉफ़्टवेयरों में ख़ामियां निकालने के लिए पहचाना जाता है. ये वही हैकर था जिसने दो साल पहले भारत के दूरसंचार नियामक प्राधिकरण (ट्राई) के प्रमुख आरएस शर्मा की चुनौती को स्वीकार करते हुए उनकी निजी जानकारियों को कथित तौर पर सार्वजनिक कर दिया था. शर्मा ने यह चुनौती आधार कार्ड से जुड़ी सूचना के दुरुपयोग के संबंध में दी थी.

एल्डरसन ने तीन अप्रैल को यानी आरोग्य सेतु एप्लिकेशन लॉन्च होने के दो दिन बाद इसका 1.0.1 वर्जन इंस्टॉल किया था. लेकिन जब उसने इस एप्लिकेशन की वेब व्यू एक्टिविटी की कोडिंग देखी तो कथित तौर पर उसमें कुछ गड़बड़ी पाई. वेब व्यू ऐक्टिविटी को समझने के लिए मान लीजिये कि आपने एक न्यूज़ पोर्टल का एप इंस्टॉल कर उसमें ‘ट्रेंडिग न्यूज़’ टैब पर क्लिक किया. चूंकि ट्रेंडिंग न्यूज लगातार अपडेट होती रहती हैं इसलिए डेवलपर इस जानकारी को एप में स्टोर करने के बजाय आपको अपनी वेबसाइट पर भी पढ़वा सकता है. ऐसा करने के लिए उसे वेब व्यू एक्टिविटी का इस्तेमाल करना होगा. यानी वेब व्यू एक्टिविटी के जरिये आप क्लिक तो एप्लिकेशन की किसी टैब पर करते हैं लेकिन जुड़ते एक वेबसाइट से हैं. इस तरह वह एप्लिकेशन एक ख़ास वेबसाइट को किसी वेब ब्राउज़र की तरह ओपन करने का काम करता है.

आम धारणा के मुताबिक अधिकृत व्यक्तियों के अलावा किसी अन्य का वेब व्यू एक्टिविटी की कोडिंग को देख पाना उस एप्लिकेशन के सिक्योर होने पर सवालिया निशान खड़ा करता है. लेकिन बात इतनी भर नहीं है. इलियट एंडरसन के मुताबिक़ जब उसने आरोग्य सेतु एप की वेब व्यू ऐक्टिविटी देखी तो पाया कि वह अपने मूल काम से कुछ अलग काम भी कर रही थी. जैसे वह एंड्रॉइड फोन को अपना डायलर और प्री-डायल (डायलिंग से पहले नंबर टाइप करना) ओपन करने के लिए कह रही थी.

जैसा कि हैकर आम तौर पर करते हैं, इलियट एंडरसन ने भी इस बारे में कुछ भी स्पष्ट तौर पर लिखने के बजाय इशारों में अपनी बात कही. लेकिन एक भारतीय आईटी कंपनी के नोएडा ऑफिस में काम करने वाले एक आईटी एक्सपर्ट बताते हैं कि किसी वेब व्यू एक्टिविटी के ऐसे व्यवहार का मतलब है कि उसके जरिये कोई आपके फ़ोन से डायल किए जा रहे नंबरों पर नज़र रखे हुए है. यदि एप्लिकेशन सिक्योर है तो वह व्यक्ति इसके सर्वर को मॉनिटर करने वाला भी हो सकता है और यदि एप्लिकेशन सिक्योर नहीं है तो कोई हैकर भी ऐसा कर सकता है.

यही नहीं इलियट एंडरसन के मुताबिक आरोग्य सेतु एप http/https के बिना ही एक खास यूआरएल वाले वेबपेज को खोल रही थी. जबकि आम तौर पर ऐसा नहीं होता है. http डाटा ट्रांसफर प्रोटोकोल होती है जो किसी यूज़र (क्लाइंट) और वेबसाइट (सर्वर) के बीच संवाद या डेटा के लेन-देन में मदद करती है. और https इसका अपग्रेडेड वर्ज़न है जो इस कम्युनिकेशन को अपेक्षाकृत ज्यादा सुरक्षित बनाता है. इसके न होने का यही मतलब निकाला जाता है कि ब्राउज़र और सर्वर के बीच एक सिक्योर कनेक्शन नहीं है.

एंडरसन आगे कहता है कि इस कनेक्शन (आरोग्य सेतु एप और उसके सर्वर के बीच) में कोई ‘होस्ट वेलिडेशन’ नहीं था. अब होस्ट वेलिडेशन को समझें तो यह एक तरह से सर्वर का गेटकीपर होता है जो ध्यान रखता है कि वह सर्वर सिर्फ़ उन्हीं रिक्वेस्ट पर रेस्पॉन्स दे जिनके लिए उसे बनाया गया है. यानी यदि किसी सर्वर पर सिर्फ़ गाने हैं तो उसे यूजर की वे ही रिक्वेस्ट स्वीकार करनी चाहिए जो गानों से जुड़ी हों. न कि कोई संदिग्ध या अलग तरह (जैसे मौसम) की जानकारी चाहने वालीं. लेकिन होस्ट वेलिडेशन के नहीं होने पर किसी अवांछित रिक्वेस्ट के ज़रिए सर्वर में सेंध लगने का ख़तरा पैदा हो जाता है.

इसके अलावा इलियट एंडरसन के मुताबिक वह आरोग्य सेतु ऐप में FightCorona_prefs.xml नाम की एक इंटरनल फाइल भी खोल पाने में कामयाब हो गया था. उसने इसका वीडियो भी शेयर किया. उसने दावा किया कि कोई भी अटैकर सिर्फ़ एक क्लिक से इस एप्लिकेशन की कोई भी इंटरनल फाइल ओपन कर सकता है फिर चाहे वह ऐप द्वारा स्टोर किया गया डेटाबेस ही क्यों न हो!

हांलाकि इसके बाद जब इलियट एंडरसन ने 4 मई को आरोग्य सेतु एप को अपडेट कर इसका 1.1.1 वर्ज़न इंस्टॉल किया तो उसने पाया कि इस एप्लिकेशन से जुड़ी पिछली सारी ख़ामियां ठीक की जा चुकी थीं. अब कोई अनाधिकृत व्यक्ति इस एप की वेब व्यू एक्टिविटी को नहीं देख पा रहा था.

अब इलियट एंडरसन ने आरोग्य सेतु ऐप को रूटेड डिवाइस पर इस्तेमाल करना चाहा. एक साधारण एंड्रॉइड यूज़र अपने फ़ोन में इंस्टॉल किए हुए ऑपरेटिंग सिस्टम या एप्लिकेशंस के एक सीमित हिस्से को ही देख, पढ़ या इस्तेमाल कर सकता है. लेकिन रूट करने के बाद वह अपने फ़ोन में मौजूद किसी भी सॉफ़्टवेयर से संबंधित कई अतिरिक्त चीजों को ऐक्सेस कर सकता है. हालांकि यह संतोषजनक था कि आरोग्य सेतु एप को रुटेड डिवाइस पर इंस्टॉल नहीं किया जा सका. लेकिन एंडरसन के मुताबिक वह आरोग्य सेतु की प्रोग्रामिंग में से उस हिस्से को ही डीएक्टिवेट करने में कामयाब हो गया जिसकी मदद से यह ऐप रुटेड डिवाइस को पहचान पा रही थी.

एंडरसन ने अपनी रिपोर्ट में लिखा है कि ‘इसके बाद मेरे लिए अगली चुनौती आरोग्य सेतु ऐप की सर्टिफिकेट पिनिंग को बाइपास करना था ताकि एप्लिकेशन की तरफ़ से सर्वर को भेजी जा रही रिक्वेस्ट्स को मॉनिटर किया जा सके. एक बार ऐसा करने के बाद मुझे इस ऐप से जुड़े कुछ दिलचस्प फीचर्स मिले.’ सर्टिफिकेट पिनिंग, https के बाद एक एडिशनल लेयर होती है जो क्लाइंट और सर्वर के बीच के कम्युनिकेशन की प्राइवेसी को बनाए रखने में मदद करती है.

सामान्य डिवाइस में इंस्टॉल्ड एप्लिकेशन के ज़रिए चुनिंदा रिक्वेस्ट ही जनरेट की जा सकती है, जबकि रूटेड फ़ोन पर ये पाबंदी लागू नहीं होती. जैसे आप अपने मोबाइल में इंस्टॉल्ड न्यूज़ एप्लिकेशन में जाकर सिर्फ़ ‘ट्रेंडिग न्यूज़’ की ही रिक्वेस्ट भेज सकते हैं और आपको उस समय ट्रेंड में चल रही ख़बरों की लिस्ट दिख जाएगी. जबकि रूटेड डिवाइस वाला यूज़र यह रिक्वेस्ट भी भेज सकता है कि सात दिन पहले उस एप्लिकेशन पर कौन सी ख़बरें ट्रेडिंग में थीं या कौन सी ख़बर पर कितने व्युअर आए या उन्हें किस एडिटर ने कितनी बार एडिट किया आदि आदि. यदि यह जानकारी उस एप्लिकेशन के सर्वर पर मौजूद है तो रूटेड डिवाइस का यूज़र इसे हासिल कर सकता है.

इसके बाद इलियट एंडरसन ने लिखा है कि ‘आरोग्य सेतु से आप यह जान सकते हैं कि आपके आस-पास कितने लोगों ने इस ऐप के ज़रिए अपने स्वास्थ्य की जांच की है. इसके लिए आप विकल्प के तौर पर पांच सौ मीटर/ एक किलोमीटर/ दो किलोमीटर/ पांच किलोमीटर और दस किलोमीटर के दायरे (रेडियस) का चयन कर सकते हैं. जैसे ही यूज़र इनमें से किसी भी विकल्प को चुनता है उसकी लोकेशन (लोंगिट्यूड और लैटिट्यूड) सर्वर के पास चली जाती है. इसके बाद वह अपनी रेडियस में मौजूद संक्रमित लोगों की संख्या, अस्वस्थ लोगों की संख्या, ब्लूटूथ के ज़रिए संपर्क में आए पॉज़िटिव लोगों की संख्या, इस ऐप के जरिए अपनी जांच करने वाले लोगों की संख्या और इस एप्लिकेशन का उपयोग करने वाले लोगों की संख्या जान सकता है.

लेकिन एंडरसन ने इससे आगे जाकर अपनी लोकेशन को बदलने की कोशिश की. उसने मैनुअली अपने आप को मुंबई में लोकेट किया और अपनी रेडियस अधिकतम दस किलोमीटर से बढ़ाकर सौ किलोमीटर कर दी. एंडरसन का दावा है कि आरोग्य सेतु ऐप ने अप्रत्याशित ढंग से इस सर्च से जुड़े परिणाम भी दिखा दिए. यानी उसने दावा किया कि कोई भी कहीं भी बैठकर जान सकता है कि भारत के किस कोने में कौन-कौन से व्यक्ति कोरोना संक्रमित है.

कहने-सुनने में यह बहुत सामान्य बात लग सकती है. लेकिन असल में यह निजता के अधिकार का तो हनन करता ही है साथ ही व्यक्ति की जान के लिए भी ख़तरा बन सकती है. इसे इससे समझा जा सकता है कि जब लोग कोरोना के डर से अपने आस-पास रहने वाले डॉक्टरों तक के साथ हाथा-पाई करने से नहीं चूक रहे या इससे भी बड़ी बात कि वे कोरोना के डर से ख़ुदकुशी तक कर रहे हैं, ऐसे में यदि उन्हें पता चले कि उनका पड़ोसी कोरोना संक्रमित है तो वे उसके साथ क्या नहीं कर सकते! भारत सरकार भी किसी कोरोना संक्रमित व्यक्ति की पहचान उजागर नहीं करने की हिदायत दे चुकी है.

इसके बाद एंडरसन ने फ़िर से अपनी लोकेशन बदलकर और भी कई जानकारियां जुटाईं:

प्रधानमंत्री कार्यालय में संक्रमित- शून्य, अस्वस्थ-5, स्वयं को जांचने वाले-215, समीपवर्ती यूज़र- 1936

भारतीय संसद में संक्रमित- एक, अस्वस्थ-2, स्वयं को जांचने वाले- 225, समीपवर्ती यूज़र- 2338

भारतीय सेना मुख्यालय में संक्रमित- शून्य, अस्वस्थ-2, स्वयं को जांचने वाले-91, समीपवर्ती यूज़र- 1302

रक्षा मंत्रालय में संक्रमित- शून्य, अस्वस्थ-5, स्वयं को जांचने वाले-123, समीपवर्ती यूज़र- 1375

जबकि एक सामान्य यूज़र यह तो जान सकता है कि उसकी रेडियस में कितने लोग संक्रमित, अस्वस्थ या आरोग्य सेतु ऐप के यूज़र हैं. पर ये जान पाना उसके बूते के बाहर की बात है कि इनमें से कौन, कहां मौजूद है. लेकिन इस तरह भारत सरकार और सेना के इतने अहम कार्यालयों का स्पेसिफिक डेटा जुटाना एक गंभीर मसला हो सकता है.

जब एंडरसन ने इस बारे में ट्वीट किए तो भारत सरकार ने एक बयान जारी किया. इस बयान के मुताबिक आरोग्य सेतु ऐप में अपलोड किया गया डेटा पूरी तरह एनक्रिप्टेड है. यानी यह सिर्फ़ यूज़र से सर्वर और सर्वर से यूज़र के बीच ही ट्रांसमिट हो सकता है, इसे बीच में हैक नहीं किया जा सकता है. और जहां तक दायरे का सवाल है तो आरोग्य सेतु की इस कमी को दूर कर लिया गया है. अब यह सिर्फ़ 500 मीटर/ एक किलोमीटर/ दो किलोमीटर/ पांच किलोमीटर और दस किलोमीटर की रेडियस की ही जानकारी उपलब्ध कराएगा. इन विकल्पों से इतर कोई एंट्री करने पर ऐप स्वत: ही एक किलोमीटर को डिफॉल्ट रेडियस के तौर पर चुन लेगा.

इस ख़त में यह भी लिखा था कि ‘यह सही है कि यूज़र अपने फ़ोन का लैटिट्यूड और लोन्गिट्यूड बदल सकता है, पर चूंकि (आरोग्य सेतु के) वेब एप्लिकेशन फ़ायरवॉल (डब्ल्यूएएफ) में एपीआई कॉल मौजूद है इसलिए बल्क कॉल्स नहीं की जा सकती हैं.’

डब्ल्यूएएफ; एप्लिकेशन और सर्वर के बीच एक तरह से फ़िल्टर काम करता है. यानी एप्लिकेशन के ज़रिए जो भी सूचना मांगी जा रही है डब्ल्यूएएफ उस पर नज़र रखता है और अवांछित रिक्वेस्ट को रोकता है. वहीं, एपीआई कॉल का मतलब किसी इन्फोर्मेशन के लिए सर्वर को कॉल करना यानी उससे जानकारी मांगना होता है. यानी आपने न्यूज़ एप्लिकेशन में जाकर ‘ट्रेंडिग न्यूज़’ और ‘स्पोर्ट्स न्यूज़’ जैसी दो सूचनाएं मांगीं तो उसे दो एपीआई कॉल कहेंगे. यानी कि भारत सरकार का इलियट एंडरसन को जवाब था कि आरोग्य सेतु ऐप के यूज़र को एक बार में सिर्फ़ एक ही कॉल यानी एक ही लोकेशन से जुड़ी हुई जानकारी दी जाएगी.

सरकार ने अपने बयान के अंत में इलियट एंडरसन को धन्यवाद देते हुए और लोगों को भी आरोग्य सेतु एप में सुधार के लिहाज से अपने सुझाव देने के लिए भी कहा.

सरकार के जवाब पर इलियट एल्डरसन का जवाब था कि आरोग्य सेतु ऐप के रेडियस पैरामीटर को मैं बदल चुका हूं, इसलिए वे (भारत सरकार) झूठ बोल रहे हैं और इस बात को जानते भी हैं. वे मान रहे हैं कि उन्होंने अब रेडियस की डिफ़ॉल्ट वेल्यू एक किलोमीटर कर दी है, उन्होंने ऐसा मेरी रिपोर्ट आने के बाद किया है. मजे की बात है कि वे यह भी स्वीकार कर रहे हैं कि एक यूज़र किसी अन्य (झूठी) लोकेशन से भी डेटा ले सकता है. और इस ऐप में बल्क कॉल भी संभव है. मैंने अपना पूरा दिन इसी में गुज़ारा है. आप भी यह बात जानते हो. वह आख़िर में लिखता है, ‘मैं ख़ुश हूं कि आपने इतनी जल्दी मेरी रिपोर्ट पर जवाब दिया और कुछ ख़ामियों में सुधार भी किया. लेकिन झूठ बोलना और चीजों को नकारना छोड़ दो.’