பெங்களூருவை தளமாகக் கொண்ட விரைவு வர்த்தகத் தளமான KiranaPro இன் சமீபத்திய தரவு இழப்புச் சம்பவம், ஒரு சுவிஸ் சீஸ் (Swiss cheese) போல் அதிக ஓட்டைகளைக்கொண்டுள்ளதாகத் தகவல்கள் தெரிவிக்கின்றன. இந்தச் சம்பவம் ஒரு உள்நாட்டு ஊடுருவலா (internal breach) அல்லது வெளிநாட்டு ஹேக்கிங்கா (external hack) என்பது குறித்து KiranaPro நிறுவனம் இன்னும் தெளிவற்ற நிலையில் உள்ளது. இது, நிறுவனங்களின் சைபர் பாதுகாப்பு நெறிமுறைகளில் உள்ள ஓட்டைகளையும், முன்னாள் ஊழியர்களின் கணக்கு அணுகல் நிர்வாகத்தின் முக்கியத்துவத்தையும் வெளிச்சம் போட்டுக் காட்டுகிறது.

---

ஆரம்பக் குற்றச்சாட்டு: முன்னாள் ஊழியர் மீது பழி!

கடந்த வாரம், KiranaPro அதன் பேக்-எண்ட் சர்வர்களை அணுக முடியவில்லை என்பதையும், அதன் செயலியின் குறியீடு (app code) உட்பட அனைத்து தரவுகளும் GitHub இலிருந்து நீக்கப்பட்டிருப்பதையும் கண்டறிந்தது. இந்தச் சம்பவத்திற்கு ஒரு முன்னாள் ஊழியர் காரணம் என்று நிறுவனம் ஆரம்பத்தில் குற்றம் சாட்டியது. நிறுவனத்தின் இணை நிறுவனர் மற்றும் தலைமை செயல் அதிகாரி (CEO) தீபக் ரவீந்திரன் (Deepak Ravindran), எக்ஸ் (X) தளத்தில் வெளியிட்ட பதிவில், “கவனமான விசாரணைக்குப் பிறகு, இது ஒரு ஹேக் அல்ல என்று நாங்கள் முடிவு செய்கிறோம். எங்கள் ஆர்டர் அல்லது கட்டண அமைப்புகளில் எந்த வெளித்தரப்பினரும் ஊடுருவவில்லை, பாதிக்கக்கூடிய அம்சங்களைப் பயன்படுத்தவில்லை, அல்லது பாதுகாப்பு நெறிமுறைகளைத் தாண்டிச் செல்லவில்லை” என்று குறிப்பிட்டுள்ளார்.

மேலும், “இது ஒரு உள் தரவு மீறல். குறிப்பாக, எங்கள் அமைப்புகளுக்கு முறையான அணுகலைக் கொண்டிருந்த ஒரு நம்பகமான உள் ஊழியரின் செயல்களின் விளைவாகும்” என்றும் அவர் கூறினார். GitHub பதிவுகளின் அடிப்படையில் இந்த முடிவை எடுத்ததாக அவர் தெரிவித்துள்ளார்.

---

குழப்பத்தை அதிகரிக்கும் CEO இன் வாக்குமூலம்: வெளி ஹேக்கிங் சாத்தியமா?

ஆனால், இந்த ஆரம்பக் குற்றச்சாட்டுகளுக்குப் பிறகு, TechCrunch க்கு அளித்த ஒரு பேட்டியில், தீபக் ரவீந்திரன் தனது நிலைப்பாட்டில் ஒரு பெரிய மாற்றத்தைக் கொண்டுவந்துள்ளார். சம்பந்தப்பட்ட முன்னாள் ஊழியர் நிறுவனம் விட்டுச் சென்ற பிறகு, அவரது கணக்கை செயலிழக்கச் செய்யவில்லை என்பதை அவர் ஒப்புக்கொண்டார். மேலும், அந்த முன்னாள் ஊழியரின் கணக்கை ஒரு மூன்றாம் தரப்பினர் தீங்கிழைக்கும் வகையில் தவறாகப் பயன்படுத்தியிருக்கலாம் என்ற சாத்தியத்தை அவர் நிராகரிக்க முடியவில்லை என்று கூறினார்.

• ஊழியர் வெளியேற்ற நடைமுறை குறைபாடு: KiranaPro இன் தலைமை தொழில்நுட்ப அதிகாரி (CTO) சௌரவ் குமார் (Saurav Kumar) TechCrunch இடம், “நிறுவனத்தில் முழுநேர மனிதவளம் இல்லாததால், ஊழியர் வெளியேற்ற நடைமுறைகள் சரியாகக் கையாளப்படவில்லை” என்று உறுதிப்படுத்தியுள்ளார். இது முன்னாள் ஊழியரின் கணக்கு ஏன் செயலிழக்கச் செய்யப்படவில்லை என்பதற்கு ஒரு காரணமாகும்.
• விசாரணையின்மை: “நாங்கள் ஒரு முழுமையான தடயவியல் விசாரணையை நடத்த வேண்டும். ஆனால், அதற்கான செலவுகளைச் செய்ய நாங்கள் முடிவு செய்யவில்லை” என்று ரவீந்திரன் TechCrunch இடம் தெரிவித்துள்ளார். இதனால், முன்னாள் ஊழியரின் கணக்கு ஒரு மால்வேர் (malware) அல்லது வேறு எந்தத் தீங்கிழைக்கும் மூன்றாம் தரப்பினரால் அணுகப்பட்டதா என்பதை நிறுவனம் உறுதியாகக் கூற முடியவில்லை.
• GitHub பதிவுகள் மட்டுமே ஆதாரம்: முன்னாள் ஊழியர் மீது குற்றம் சாட்டுவதற்கான ஒரே அடிப்படை, GitHub இலிருந்து பெற்ற ஒரு பதில் மட்டுமே என்றும், அதில் அந்தப் பெயருடன் தொடர்புடைய பயனர்பெயர் கணக்கை நீக்கியதாகக் குறிப்பிடப்பட்டிருந்தது என்றும் ரவீந்திரன் கூறியுள்ளார். ஆனால், “நாங்கள் மேலும் எந்த விசாரணையையும் செய்யவில்லை” என்றும் அவர் ஒப்புக்கொண்டார்.

---

தரவு மீட்டெடுப்பு மற்றும் பாதுகாப்பு குறித்த கேள்விகள்:

• தரவு மீட்டெடுப்பு: GitHub தரவுகள் ஒரு ஊழியரின் காப்புப் பிரதியிலிருந்து (backup) மீட்டெடுக்கப்பட்டது. Amazon Web Services (AWS) கணக்கிற்கான அணுகலையும் KiranaPro மீட்டெடுத்துள்ளது.
• AWS பாதுகாப்பு மற்றும் அணுகல்: AWS கணக்கு மல்டி-ஃபாக்டர் அங்கீகாரத்தால் (Multi-Factor Authentication – MFA) பாதுகாக்கப்பட்டிருந்ததாக இணை நிறுவனர் மற்றும் CTO இருவரும் உறுதிப்படுத்தியுள்ளனர். ஆனால், வேறு யாருக்கும் MFA குறியீடுகளை உருவாக்கும் ரவீந்திரனின் தொலைபேசியை நேரடியாக அணுக முடியாத நிலையில், கணக்கு எவ்வாறு அணுகப்பட்டது என்பதை அவர்களால் விளக்க முடியவில்லை.
• வாடிக்கையாளர் தரவு பாதுகாப்பு: இருப்பினும், AWS கிளவுட்டில் சேமிக்கப்பட்ட வாடிக்கையாளர் தரவுகள் அப்படியே இருப்பதாகவும், எந்த மூன்றாம் தரப்பினராலும் அணுகப்படவோ அல்லது சம்பந்தப்பட்ட முன்னாள் ஊழியரால் பதிவிறக்கம் செய்யப்படவோ இல்லை என்றும் ரவீந்திரன் உறுதியாகக் கூறியுள்ளார். “அப்படி இருந்திருந்தால், எனக்கு மின்னஞ்சல் அல்லது வேறு ஏதேனும் அறிவிப்பு வந்திருக்கும்” என்று அவர் தெரிவித்துள்ளார்.

---

நிறுவனத்தின் தற்போதைய நிலை மற்றும் சவால்கள்:

• KiranaPro தனது விசாரணையைத் தொடர்ந்து நடத்தி வருவதாகவும், காவல்துறை புகாரைப் பதிவு செய்யப் போதுமான ஆதாரங்கள் இருப்பதாகவும் ரவீந்திரன் கூறியுள்ளார்.
• சமீபத்தில் ₹100 மில்லியன் (சுமார் $1.2 மில்லியன்) விதை நிதியைப் (seed round) பெற்ற போதிலும், நிறுவனம் தனது தற்போதைய ஊழியர்களுக்கு இன்னும் முழுமையாக ஊதியம் வழங்கவில்லை என்று ரவீந்திரன் உறுதிப்படுத்தியுள்ளார்.
• KiranaPro 2024 இன் பிற்பகுதியில் தொடங்கப்பட்டது. இது இந்திய அரசின் Open Network for Digital Commerce (ONDC) நெட்வொர்க்கில் ஒரு வாங்குபவர் பயன்பாடாகச் செயல்படுகிறது. 50 நகரங்களில் 55,000 க்கும் மேற்பட்ட வாடிக்கையாளர்களுக்கு குரல் அடிப்படையிலான இடைமுகம் மற்றும் உள்ளூர் மொழி ஆதரவுடன் மளிகைப் பொருட்களை வாங்க அனுமதிக்கிறது. இதில் ஆங்கிலம், இந்தி, மலையாளம் மற்றும் தமிழ் போன்ற உள்ளூர் மொழிகளும் அடங்கும்.
• Blume Ventures, Unpopular Ventures, மற்றும் Turbostart போன்ற நிறுவன முதலீட்டாளர்களையும், ஒலிம்பிக் பதக்கம் வென்ற பி.வி. சிந்து மற்றும் Boston Consulting Group நிர்வாக இயக்குநர் விகாஸ் தனேஜா போன்ற ஏஞ்சல் முதலீட்டாளர்களையும் KiranaPro கொண்டுள்ளது. பெங்களூரு மற்றும் கேரளாவில் 15 ஊழியர்கள் உள்ளனர்.

---

முடிவுரை:

KiranaPro இன் தரவு இழப்புச் சம்பவம், ஸ்டார்ட்அப்கள் எதிர்கொள்ளும் சைபர் பாதுகாப்பு அச்சுறுத்தல்களின் தீவிரத்தையும், பாதுகாப்பு நடைமுறைகள் மற்றும் ஊழியர் வெளியேற்றச் செயல்முறைகளின் முக்கியத்துவத்தையும் மீண்டும் ஒருமுறை எடுத்துக்காட்டுகிறது. இந்தச் சம்பவத்தின் உண்மையான காரணம் இன்னும் முழுமையாகத் தெளிவில்லாமல் இருக்கும் நிலையில், இது நிறுவனங்களுக்கு, குறிப்பாக வளர்ந்து வரும் நிறுவனங்களுக்கு, தங்கள் டிஜிட்டல் சொத்துக்களைப் பாதுகாப்பதில் எவ்வளவு கவனமாக இருக்க வேண்டும் என்பதற்கான ஒரு முக்கியமான பாடமாக அமைகிறது.