महत्वपूर्ण भेद्यता स्वैच्छिक अंग दाताओं के संवेदनशील डेटा में तेजी लाती है

ऑल इंडिया इंस्टीट्यूट ऑफ मेडिकल साइंसेज (AIIMS), नई दिल्ली की ऑर्गन रिट्रीवल बैंकिंग ऑर्गनाइजेशन (ORBO) वेबसाइट में एक महत्वपूर्ण भेद्यता, जो भारत भर में स्वैच्छिक अंग डेटा के संवेदनशील डेटा के साथ -साथ उनकी पहचान, स्वास्थ्य प्रोफ़ाइल और संपर्क विवरण का पता लगाया गया था और हल किया गया था, एक स्वतंत्र सुरक्षा शोधकर्ता के लिए धन्यवाद।

ORBO कैडवर ऑर्गन और टिशू डोनेशन से संबंधित गतिविधियों के लिए नोडल सुविधा है। यह एक मस्तिष्क मृत्यु दाता रजिस्ट्री को बनाए रखता है, अंग और ऊतक दान की प्रक्रिया का समन्वय करता है और प्रत्यारोपण और अस्पतालों को जानकारी प्रसारित करता है।

मई 2025 के मध्य में, शोधकर्ता, एनिकेट टॉमर ने भेद्यता को बढ़ाया और कंप्यूटर आपातकालीन प्रतिक्रिया टीम (CERT) को सतर्क कर दिया।

डेटा गोपनीयता का उल्लंघन

महत्वपूर्ण डेटा खर्चों के बारे में सूचित करने वाले एक ईमेल में, उन्होंने कहा कि भेद्यता ने व्यक्तिगत रूप से पहचान योग्य और पंजीकृत अंग और ऊतक दाताओं की चिकित्सा जानकारी का खुलासा किया, बिना किसी प्रमाणीकरण के इसे एक्सेस करने के लिए, डेटा गोपनीयता, अनुपालन और राष्ट्रीय स्वास्थ्य बुनियादी ढांचे की सुरक्षा के लिए गंभीर खतरा है।

डेटा लीक ने AIIMS के साथ पंजीकृत अंग और ऊतक दाताओं की पूरी सूची के लिए अप्रतिबंधित पहुंच प्रदान की। जानकारी में पूरा नाम, आवासीय पता, जन्म तिथि, रक्त समूह, मोबाइल नंबर और दाता के आपातकालीन संपर्क विवरण में सैकड़ों व्यक्तियों को पहचान की चोरी, फ़िशिंग हमलों और सोशल इंजीनियरिंग की खोज के महत्वपूर्ण जोखिमों पर सैकड़ों व्यक्तियों को रखा गया था।

“एक प्रतिष्ठित चिकित्सा संस्थान से इस तरह के एक डेटा उल्लंघन न केवल डिजिटल स्वास्थ्य प्रणालियों में सार्वजनिक विश्वास को कम करता है, बल्कि (DPDP) अधिनियम, 2023 के बिना डेटा संरक्षण सिद्धांतों को भी बताता है। सर्वरता को इस तथ्य से प्रवर्धित किया जाता है कि उल्लंघन एक संवेदनशील जनसांख्यिकीय -गर दाताओं को प्रभावित करता है – जो गोपनीयता और डेटा स्टीम के उच्चतम मानकों को अपने अलर्ट के लिए कहते हैं।

व्यक्तिगत रूप से पहचान योग्य जानकारी (PII) फ़ील्ड को किसी भी सार्वजनिक रूप से सुलभ रिपोर्ट में स्वच्छ या फिर से तैयार किया जाना चाहिए, उन्होंने कहा और प्रणालीगत एक्सपोज़र को रोकने के लिए सिमिलर वेब अनुप्रयोगों अन्य स्वास्थ्य सेवा पोर्टल्स के लिए पूरी तरह से बुलाया। AIIMS को नैतिक मानकों के अनुसार प्रभावित व्यक्तियों को सूचित करना चाहिए।

‘एक तकनीकी चूक से अधिक’

“मैं कई लाख दाता प्रविष्टियों में सक्षम था … डेटा दिल्ली तक सीमित नहीं था, प्रविष्टियों में भारत भर के विभिन्न क्षेत्रों के दाताओं को शामिल करने के लिए दिखाई दिया, जो एक राष्ट्रव्यापी गुंजाइश का संकेत देता है। गोपनीयता का एक गंभीर उल्लंघन, उन व्यक्तियों के विश्वास को कम करते हुए जिन्होंने स्वेच्छा से एक राष्ट्रीय स्वास्थ्य मंच के साथ अपनी सबसे संवेदनशील व्यक्तिगत जानकारी साझा की,” टॉमार ने बताया। हिंदू,

केवल एक तकनीकी चूक से अधिक, घटना गहरी नैतिक चिंताओं को बढ़ाती है और अंग दान प्रणाली और व्यापक स्वास्थ्य सेवा बुनियादी ढांचे में सार्वजनिक विश्वास को नष्ट करने की धमकी देती है, उन्होंने कहा।

18 जून, 2025 को, एसईआरटी ने श्री टॉमर को लिखा कि महत्वपूर्ण भेद्यता का पता लगाने के लिए उनकी सराहना की। शोधकर्ता ने कहा कि भेद्यता को सफलतापूर्वक कम कर दिया गया था और उजागर डेटा अब सार्वजनिक रूप से सुलभ नहीं था।