साइबर सुरक्षाको दृष्टिकोणले यो समय अत्यन्त चिन्ताजनक बन्दै गएको छ। ताजा घटना १८ करोड भन्दा बढी प्रयोगकर्ताहरूको संवेदनशील जानकारी, जस्तै पासवर्ड र लगइन विवरणहरू, कुनै सुरक्षा बिना नै इन्टरनेटमा सार्वजनिक रूपमा पहुँचयोग्य भेटिएको ठूलो डाटा चुहावटसँग सम्बन्धित छ। यस चुहावटको गम्भीरता यसैबाट अनुमान गर्न सकिन्छ कि यसमा Apple, Facebook, Instagram, Snapchat र Roblox जस्ता विशाल प्लेटफर्मका प्रयोगकर्ताहरू पनि समावेश छन्।
४७ GB को चुहावट भएको डाटा इन्टरनेटमा खुला अवस्थामा भेटियो
४७ GB को यो चुहावट भएको डाटा इन्टरनेटमा कुनै सुरक्षा बिना खुला अवस्थामा भेटियो, जसले साइबर सुरक्षा विशेषज्ञहरूलाई पनि चकित पारेको छ। यस खुलासालाई अमेरिकाका प्रख्यात साइबर अनुसन्धानकर्ता जेरेमिया फाउलरले गरेका हुन्। उनले बताए अनुसार एक वेब होस्टिङ प्लेटफर्ममा उनले ४७.४२ GB को डाटाबेस फेला पारे, जसमा लगभग ८ करोड ४१ लाख भन्दा बढी युनिक पासवर्ड र लगइन विवरणहरू plain text अर्थात् कुनै सुरक्षा प्रणाली बिना नै रेकर्ड गरिएका थिए। यसमा न त पासवर्ड सुरक्षा थियो न त डाटा इन्क्रिप्ट गरिएको थियो। कसैले पनि यो डाटालाई इन्टरनेटबाट सिधै पहुँच गर्न सक्थ्यो, जसले यसलाई अझ बढी खतरनाक बनाउँछ। यसबाट स्पष्ट छ कि यो डाटा चुहावट जानजान गरिएको हो वा अत्यन्त लापरवाहीका कारण कतै छोडिएको हो, जुन करोडौं मानिसहरूको अनलाइन सुरक्षाको लागि गम्भीर खतरा बन्न सक्छ।
कुन प्लेटफर्मका प्रयोगकर्ताहरू यस चुहावटबाट प्रभावित?
डाटाको जाँचबाट थाहा भएको छ कि यसमा केवल सामाजिक सञ्जाल मात्र होइन, बैंकिंग, स्वास्थ्य सेवा र सरकारी पोर्टलसँग सम्बन्धित प्रयोगकर्ताहरूको जानकारी पनि समावेश छ। अर्थात् यो केवल सामाजिक सञ्जाल चुहावट मात्र होइन, करोडौं मानिसहरूको डिजिटल पहिचान र आर्थिक सुरक्षामाथि प्रत्यक्ष आक्रमण हो।
फाउलरका अनुसार, यी जानकारीहरू सम्भवतः कुनै इन्फो-स्टिलर मालवेयर (Infostealer Malware) द्वारा चोरी गरिएको हो। यी त्यस्ता मालवेयर हुन् जुन प्रयोगकर्ताको कम्प्युटर वा उपकरणमा लुकेर उनीहरूको संवेदनशील जानकारी चोरी गर्दछन् र त्यसपछि यसलाई डार्क वेब वा अन्य च्यानलहरू मार्फत बेचिन्छ।
ठूला नामहरू पनि जोखिममा
यस पटक जुन डाटा चुहावट भएको छ, त्यसमा सबैभन्दा आश्चर्यजनक कुरा यो हो कि यसमा Apple, Meta (जसमा Facebook र Instagram समावेश छन्), Snapchat र Roblox जस्ता ठूला प्लेटफर्मका प्रयोगकर्ताहरूको जानकारी पनि समावेश छ। अर्थात् यो आक्रमण केवल कुनै एक वेबसाइट वा एपमा मात्र सीमित थिएन, तर साइबर अपराधीहरूले ठूलो स्तरमा मानिसहरूको निजी जानकारी चोरेका छन्। यसबाट स्पष्ट छ कि अब अनलाइन खतरा कुनै विशेष लक्ष्यमा मात्र सीमित छैन, तर लाखौं-करोडौं मानिसहरू जोडिएका प्रत्येक प्लेटफर्मलाई लक्षित गरिएको छ। यो चुहावट साधारण मानिसदेखि लिएर ठूला टेक कम्पनीहरूसम्म सबैको लागि खतराको घण्टी हो।
किन यो चुहावट यति गम्भीर छ?
डाटा इन्क्रिप्सन बिना थियो: सामान्यतया कम्पनीहरू पासवर्डलाई हैस वा इन्क्रिप्ट गरेर स्टोर गर्दछन्। तर यस चुहावटमा डाटा पूर्ण रूपमा साधारण पाठमा थियो, जुन कसैले पनि सजिलै पढ्न सक्थ्यो।
सार्वजनिक पहुँचमा थियो: यो डाटाबेस कुनै पासवर्डद्वारा सुरक्षित थिएन र कुनै पनि व्यक्तिले यसलाई इन्टरनेटमा पहुँच गर्न सक्थ्यो। अर्थात् यो साइबर अपराधीहरूको लागि खुला भोज जस्तै थियो।
संवेदनशील क्षेत्र पनि प्रभावित: सामाजिक सञ्जालको अतिरिक्त बैंकिंग, स्वास्थ्य र सरकारी सेवाहरूसँग सम्बन्धित लगइनहरू पाइनुले यो चुहावटलाई अझ खतरनाक बनाउँछ। यसबाट आर्थिक ठगी, पहिचान चोरी (identity theft) र सरकारी डाटामा अनधिकृत पहुँच जस्ता खतराहरू उत्पन्न हुन सक्छन्।
Microsoft ले पासवर्ड चोर्ने खतरनाक उपकरणहरू बन्द गर्यो
हालैमा एउटा राम्रो समाचार आयो कि Microsoft को डिजिटल क्राइम युनिटले एउटा खतरनाक पासवर्ड चोर्ने उपकरण Lumma Stealer बन्द गराएको छ। यो उपकरण विश्वभर साइबर अपराधीहरूद्वारा प्रयोगकर्ताहरूको निजी जानकारी चोर्नको लागि प्रयोग भइरहेको थियो।
Microsoft ले अन्तर्राष्ट्रिय साइबर सुरक्षा एजेन्सीहरूसँग मिलेर यो उपकरणलाई समाप्त गर्ने ठूलो अभियान चलायो र यसलाई सफलतापूर्वक बन्द गर्यो। यसबाट केही हदसम्म राहत मिलेको थियो, तर यसै बीच अर्को ठूलो डाटा चुहावट सार्वजनिक भयो, जसमा करोडौं पासवर्ड र लगइनहरू कुनै सुरक्षा बिना नै इन्टरनेटमा खुला रूपमा फेला परे। यस नयाँ चुहावटले फेरि साइबर सुरक्षा एजेन्सीहरू र इन्टरनेट प्रयोगकर्ताहरूको चिन्ता बढाएको छ, किनकि यो चुहावट पनि Lumma Stealer बाट चोरी भएको डाटा जत्तिकै खतरनाक छ।
होस्टिङ कम्पनीको मौनताले शंका बढायो, षड्यन्त्रको आशंका तीव्र
फाउलरले जुन वेब होस्टिङ कम्पनीमा यो डाटा फेला पारे, उसलाई तुरुन्तै यसको जानकारी दिए, जसपछि डाटाको सार्वजनिक पहुँच बन्द गरियो। तर अहिलेसम्म न त कम्पनीले डाटाबेसको मालिकको जानकारी दिएको छ न त यो बताइएको छ कि डाटा त्यहाँ कसरी पुग्यो। यो अज्ञात मालिक एउटा ठूलो साइबर गिरोहको सदस्य हुन सक्छ जुन इन्फो-स्टिलर टुल्सबाट डाटा सङ्कलन गरेर बेच्छ वा प्रयोग गर्दछ।
प्रयोगकर्ताहरूको लागि चेतावनी र आवश्यक कदमहरू
- यदि तपाईं पनि डिजिटल संसारमा सक्रिय हुनुहुन्छ (र आजकल को होइन?), त्यसोभए यो चुहावट तपाईंको लागि पनि खतरनाक साबित हुन सक्छ। यस्तो अवस्थामा केही सावधानी अपनाउनु अत्यन्त आवश्यक छ:
- प्रत्येक खाताको लागि फरक पासवर्ड प्रयोग गर्नुहोस्: एउटै पासवर्ड बारम्बार प्रयोग गर्नु सबैभन्दा ठूलो गल्ती हो। यदि एउटा खाताको डाटा चुहावट हुन्छ भने, अन्य सबै खाताहरू पनि जोखिममा पर्दछन्।
- बलियो पासवर्ड बनाउनुहोस्: कम्तिमा १२ अक्षरको पासवर्ड राख्नुहोस् जसमा अक्षर, संख्या र विशेष चिन्हहरू समावेश गरिएका होउन्।
- पासवर्ड व्यवस्थापकको प्रयोग गर्नुहोस्: यदि तपाईंलाई धेरै पासवर्ड याद राख्न गाह्रो हुन्छ भने, कुनै विश्वसनीय पासवर्ड व्यवस्थापकको प्रयोग गर्नुहोस्।
- दुई-स्तरीय प्रमाणीकरण (२FA) सक्षम गर्नुहोस्: प्रत्येक महत्त्वपूर्ण खाताको लागि टू-फ्याक्टर प्रमाणीकरण अन गर्नुहोस् ताकि केवल पासवर्डबाट मात्र लगइन नहोस्।
साइबर हैकिङको समाचारहरूमा ध्यान दिनुहोस्: जसरी डाटा चुहावटका घटनाहरू सार्वजनिक हुन्छन्, ती सम्बन्धित डोमेन वा इमेल चुहावट टुल्स (जस्तै HaveIBeenPwned) मा जाँच गर्नुहोस् कि तपाईंको डाटा चुहावट भएको छ कि छैन।
