एक बड़े पैमाने पर साइबर सुरक्षा घटना का खुलासा हुआ है जहां 149 मिलियन अद्वितीय लॉगिन और पासवर्ड उजागर हुए थे। हालाँकि, यह किसी हैकर की किसी नापाक योजना का हिस्सा नहीं था, लेकिन एक साइबर सुरक्षा शोधकर्ता को 149,404,754 अद्वितीय लॉगिन और पासवर्ड मिले, कुल मिलाकर लगभग 96 जीबी कच्चा क्रेडेंशियल डेटा, पासवर्ड सुरक्षा या एन्क्रिप्शन के बिना पूरी तरह से खुला छोड़ दिया गया, जिससे यह किसी भी व्यक्ति के लिए सुलभ हो गया जो जानता था कि कहाँ देखना है।
इस लीक का खुलासा साइबर सुरक्षा शोधकर्ता जेरेमिया फाउलर ने किया, जिन्होंने एक्सप्रेसवीपीएन के माध्यम से अपने निष्कर्ष साझा किए।
डेटा लीक में कौन से ऐप्स प्रभावित हुए?
फाउलर ने पाया कि उजागर किए गए रिकॉर्ड में लगभग हर बड़ी ऑनलाइन सेवा के उपयोगकर्ता नाम और पासवर्ड शामिल हैं जिनकी कल्पना की जा सकती है। प्रभावित सेवाओं में फेसबुक, इंस्टाग्राम जैसे सोशल मीडिया प्लेटफॉर्म शामिल थे। टिकटोक और एक्स (पूर्व में ट्विटर), डेटिंग साइटें और ओनलीफैन्स अकाउंट।
लीक में बड़ी संख्या में स्ट्रीमिंग और मनोरंजन खाते भी शामिल हैं NetFlix, एचबीओ मैक्स, डिज़्नी प्लसऔर Roblox, वित्तीय सेवा खातों, क्रिप्टो वॉलेट, बैंकिंग लॉगिन और यहां तक कि सरकारी (.gov) डोमेन से जुड़े क्रेडेंशियल के साथ।
यहां उन सभी चीज़ों की पूरी सूची दी गई है जो प्रभावित हुईं:
ईमेल खातें: फाउलर का अनुमान है कि लीक में लगभग 48 मिलियन जीमेल खाते, 4 मिलियन याहू खाते और 1.5 मिलियन आउटलुक खाते पाए गए थे।
सोशल मीडिया: डेटाबेस में 17 मिलियन फेसबुक अकाउंट, 6.5 मिलियन इंस्टाग्राम अकाउंट, 780k टिकटॉक अकाउंट और कई एक्स क्रेडेंशियल्स के लिए लॉगिन शामिल थे।
मनोरंजन: लीक में लगभग 3.4 मिलियन नेटफ्लिक्स अकाउंट क्रेडेंशियल उजागर हुए थे। अन्य हिट मनोरंजन सेवाओं में एचबीओ मैक्स, डिज़नी प्लस और रोबॉक्स शामिल हैं। हालाँकि, शोधकर्ता ने समझौता किए गए खातों की संख्या पर सटीक डेटा साझा नहीं किया।
वित्तीय एवं शासकीय: लीक में कई देशों के लगभग 420k बिनेंस खाते, बैंकिंग लॉगिन और यहां तक कि सरकारी क्रेडेंशियल (.gov डोमेन) भी शामिल थे।
कैसे लीक हुआ डेटा?
फाउलर का कहना है कि ऐसा प्रतीत होता है कि डेटाबेस ‘इन्फोस्टीलर’ मैलवेयर द्वारा बनाया गया है, जो एक प्रकार का दुर्भावनापूर्ण सॉफ़्टवेयर है जिसे चुपचाप उपकरणों को संक्रमित करने और क्रेडेंशियल्स को चुराने के लिए डिज़ाइन किया गया है।
फाउलर ने अपनी रिपोर्ट में कहा, “जब डेटा एकत्र किया जाता है, चुराया जाता है या एकत्र किया जाता है, तो इसे कहीं संग्रहीत किया जाना चाहिए और क्लाउड-आधारित रिपॉजिटरी आमतौर पर सबसे अच्छा समाधान होता है। इस खोज से यह भी पता चलता है कि साइबर अपराधी भी डेटा उल्लंघनों से प्रतिरक्षित नहीं हैं।”
क्या चोरी हुआ डेटा अभी भी ऑनलाइन है?
फाउलर ने कहा कि उन्होंने होस्टिंग प्रदाता को डेटाबेस की सूचना दी थी, लेकिन होस्टिंग निलंबित होने में उन्हें एक महीना लग गया और लाखों चुराए गए क्रेडेंशियल अब पहुंच योग्य नहीं थे। उनका कहना है कि होस्टिंग प्रदाता डेटाबेस को प्रबंधित करने वाले के बारे में कोई अतिरिक्त जानकारी का खुलासा नहीं करेगा, और यह भी निश्चित नहीं है कि जानकारी वैध अनुसंधान उद्देश्यों के लिए या आपराधिक गतिविधि के लिए एकत्र की गई थी।
महीने भर की अवधि के दौरान जब होस्टिंग को निलंबित नहीं किया गया था, फाउलर ने कहा कि रिकॉर्ड की संख्या वास्तव में बढ़ गई, जिससे पता चलता है कि मैलवेयर रिपॉजिटरी में नए चुराए गए डेटा को फीड कर रहा था।
सुरक्षित रहने के लिए आप क्या कर सकते हैं?
फाउलर का कहना है कि केवल अपना पासवर्ड बदलना आपको इन्फोस्टीलर मैलवेयर से बचाने के लिए पर्याप्त नहीं हो सकता है। उनका कहना है कि यदि आपका डिवाइस मैलवेयर से संक्रमित है, तो आपके द्वारा टाइप किया गया कोई भी नया पासवर्ड भी कैप्चर कर लिया जाएगा।
वह खुद को ऑनलाइन सुरक्षित रखने के लिए कुछ तरीके सुझाते हैं:
1) मैलवेयर के लिए स्कैन करें
फाउलर का कहना है कि मैलवेयर दुर्भावनापूर्ण ईमेल अटैचमेंट, नकली सॉफ़्टवेयर अपडेट, समझौता किए गए ब्राउज़र एक्सटेंशन और यहां तक कि भ्रामक विज्ञापनों के माध्यम से फैलता है।
यदि आपको संदेह है कि आपका उपकरण मैलवेयर से प्रभावित है तो वह कुछ तत्काल कार्रवाई करने का सुझाव देते हैं:
यदि आपके पास एंटीवायरस सॉफ़्टवेयर नहीं है तो इंस्टॉल करें और दुर्भावनापूर्ण या संदिग्ध के रूप में चिह्नित किसी भी चीज़ को हटाने के लिए एक पूर्ण स्कैन चलाएं।
अपने मोबाइल पर ऑपरेटिंग सिस्टम और सुरक्षा सॉफ़्टवेयर को नवीनतम संस्करण में अपडेट करें। इसके अतिरिक्त, यह देखने के लिए कि किन ऐप्स के पास आपकी कीबोर्ड सेटिंग्स, एक्सेसिबिलिटी और डिवाइस एडमिन सेटिंग्स तक पहुंच है, सेटिंग्स में जाकर अपने ऐप की अनुमतियां भी जांचें।
2) पासवर्ड मैनेजर का उपयोग करें:
फाउलर का कहना है कि पासवर्ड मैनेजर का उपयोग करने से इन्फोस्टीलर मैलवेयर और कीलॉगर्स द्वारा उत्पन्न कुछ बुनियादी जोखिमों को कम किया जा सकता है। वे उपयोगकर्ता डेटा को एन्क्रिप्ट कर सकते हैं और साधारण कीलॉगर्स को टाइप किए गए पासवर्ड कैप्चर करने से रोक सकते हैं।
3) दो-कारक प्रमाणीकरण:
शोधकर्ता समझौता किए गए पासवर्ड का उपयोग करके अपराधियों द्वारा खातों तक अनधिकृत पहुंच को रोकने के लिए एक अतिरिक्त सत्यापन कदम जोड़ने के लिए दो-कारक प्रमाणीकरण या बायोमेट्रिक सुरक्षा को सक्षम करने की सलाह देता है।
4) पासवर्ड का दोबारा इस्तेमाल न करें:
फाउलर का कहना है कि पासवर्ड का विभिन्न साइटों, ऐप्स या सेवाओं पर दोबारा उपयोग नहीं किया जाना चाहिए।
