जरा सोचिए कि दिन शुरुआत होते ही आपको यह पता लगे कि आपके Instagram से लेकर बैंक अकाउंट तक के सभी पासवर्ड जो अब तक आप यूज कर रहे है, वो सब डार्क वेब पर उपलब्ध है। पढ़ने में यह किसी बुरे सपने की तरह लग रहा है ना? लेकिन लाखों लोगों के लिए यह बुरा सपना सच हो गया है। एक्सपर्ट्स इसे इंटरनेट के इतिहास का सबसे बड़ी डेटा चोरी बता रहे हैं। करीब 16 बिलियन से ज्यादा लॉगइन पासवर्ड लीक हो गए हैं। आपको बता दें कि यह कोई पुरानी जानकारी नहीं है। बल्कि यह एक लेटेस्ट लीक है और एडवांस्ड इन्फोस्टीलर मालयवेयर के जरिए इसे चुराया गया है।
कैसे हुई इंटरनेट की दुनिया की इतनी बड़ी चोरी?
आपको बता दें कि यह कोई सामान्य साइबर अटैक नहीं था। ना किसी फायरवॉल में सेंध लगाई गई, ना ज़ीरो-डे की कमजोरियों को खोला गया। इसके बजाय, यह डेटा चोरी एक धीमी प्रक्रिया के तहत हुआ, जिसे बनाने में कई साल लगे। डेटा चुपचाप इन्फोस्टीलर मैलवेयर का इस्तेमाल करके कलेक्ट किया गया था, एक तरह का मैलिशियस सॉफ्टेवेयर है जो इन्फेक्टेड डिवाइसेज पर छिपा रहता है, बिना अलार्म बजाए चुपचाप लॉगिन क्रेडेंशियल्स को चुरा लेता है।
रॉयटर्स की रिपोर्ट के मुताबिक, लीक हुए डेटा का एक हिस्सा पुराने, पहले से कंप्रोमाइज किए गए पासवर्ड डंप से बना हुआ प्रतीत होता है, जो बात इस डेटा ब्रीच को अलग करती है वह है फ्रेश इन्फोस्टीलर लॉग का शामिल होना। साइबरन्यूज के अनुसार, यही बात इसे खासतौर पर खतरनाक बनाती है, खासकर उन संगठनों के लिए जिनके पास मल्टी-फैक्टर ऑथेंटिकेशन की कमी है या अच्छी क्रेडेंशियल हाइजी का पालन करने में विफल हैं। दूसरे शब्दों में, यदि आप अभी भी पासवर्ड का दोबारा इस्तेमाल कर रहे हैं या अतिरिक्त सिक्यॉरिटी लेयर्स को छोड़ रहे हैं, तो आप गंभीर संकट में पड़ सकते हैं।
डेटासेट में यूजर्स का नाम नाम, पासवर्ड, ऑथेंटिकेशन टोकन, सेशन कुकीज़ और पर्सनल यूजर्स और प्लेटफार्मों से जानकारी जोड़ने वाला मेटाडेटा शामिल है।
भारत के साइबरसिक्यॉरिटी वॉचडॉग ने जारी की एडवाइजरी
भारत की साइबरसिक्यॉरिटी एजेंसी Computer Emergency Response Team (CERT-In) ने इस बड़े डेटा लीक के पता लगने के बाद एक अर्जेंट एडवाइजरी जारी की है। CTAD-2025-0024 टैग की गई और 23 जून की तारीख वाली एडवाइजरी यूजर्स को Apple, Google, Facebook, टेलीग्राम, GitHub और कई वीपीएन सेवाओं जैसे प्रमुख प्लेटफार्मों से कलेक्ट की गई संवेदनशील जानकारी के बड़े पैमाने पर एक्सपोज होने के बारे में चेतावनी देती है।
CERT-In ने ब्रीच से उत्पन्न होने वाले कई महत्वपूर्ण खतरों को चिह्नित किया है। इनमें क्रेडेंशियल स्टफिंग अटैक शामिल हैं, जहां अनऑथराइज्ड एक्सेस प्राप्त करने के लिए चुराए गए लॉगिन डिटेल्स का इस्तेमाल बहुत सारे कामों में किया जाता है, जैसे फ़िशिंग और सोशल इंजीनियरिंग, डिटेल्स मेटाडेटा द्वारा सहायता प्राप्त; पर्सनल और फाइनेंशियल प्लेटफार्मों का अकाउंट टेकओवर; और ज्यादा सॉफिस्टिकेटेड साइबर अटैक जैसे रैंसमवेयर और बिजनेस ईमेल समझौता।
लीक मुख्य रूप से दो सोर्सेज से उत्पन्न हुआ – मैलवेयर जो ब्राउज़रों और फ़ाइलों में संग्रहीत क्रेडेंशियल्स चुराता है और गलत कॉन्फ़िगरेशन के कारण सार्वजनिक रूप से उजागर डेटाबेस असुरक्षित हो जाते हैं। वॉचडॉग ने बड़ी संख्या में प्रभावित खातों और इसमें शामिल विविध प्लेटफार्मों के कारण खतरे की गंभीरता पर जोर दिया।
खुद को डेटा चोरी से कैसे रखें सुरक्षित?
रिस्क को कम करने के लिए, सीईआरटी-इन ने सभी यूजर्स को तुरंत पासवर्ड अपडेट करने की सलाह दी, खासकर बैंकिंग, सोशल मीडिया और सरकारी पोर्टल जैसे हाई रिस्क वाले प्लेटफार्मों पर। यूजर्स को अक्षरों, संख्याओं और प्रतीकों के कॉम्बिनेशन का इस्तेमाल करके मजबूत, यूनिक पासवर्ड बनाना चाहिए और पासवर्ड के दोबारा इस्तेमाल से बचना चाहिए। एजेंसी ने अतिरिक्त सुरक्षा के लिए मल्टी-फैक्टर ऑथेंटिकेशन सक्षम करने, फ़िशिंग प्रयासों के लिए सतर्क रहने और सुरक्षित क्रेडेंशियल जेनरेट करने और क्रिएट करने के लिए विश्वसनीय पासवर्ड मैनेजर्स का इस्तेमाल करने की भी सिफारिश की।