लेख – ‘डेटा लीक’चा भयकंप आणि माहिती सुरक्षा

सामना ऑनलाईन
|
बातमी शेअर करा :
सामना फॉलो करा

>> शहाजी शिंदे

सोशल मीडिया क्षेत्रातील अग्रगण्य कंपनी असणाऱ्या ‘इन्स्टाग्राम’च्या दीड कोटींहून अधिक वापरकर्त्यांच्या माहिती सुरक्षेचा प्रश्न पुन्हा एकदा ऐरणीवर आला आहे. गेल्या काही दिवसांत जगभरातील वापरकर्त्यांना त्यांनी विनंती केलेली नसतानाही पासवर्ड बदलण्याचे अनाहूत संदेश प्राप्त झाले. या प्रकारामुळे वापरकर्त्यांमध्ये भीतीचे वातावरण पसरले आहे. वापरकर्त्यांचा वैयक्तिक डेटा धोक्यात असल्याचा दावा केला जात आहे. ही सर्व माहिती डार्क वेबवर विक्रीसाठी उपलब्ध असल्याचे निदर्शनास आल्याने चिंता वाढली आहे.

आजच्या काळात इन्स्टाग्राम हे सोशल मीडिया वापरकर्त्यांच्या सर्वाधिक पसंतीचे ठरलेले माध्यम म्हणून पुढे आले आहे. विशेषतः ‘टिकटॉक’वर बंदी घातल्यानंतर इन्स्टाने रिल्स नामक संकल्पना अचूक वेळी पुढे आणली आणि तिथून पुढे ‘इन्स्टाग्राम’चा अक्षरशः झंझावात सुरू झाला. वैयक्तिक माहिती शेअर करण्यापासून ते विविध ब्लॉगपर्यंत सर्वदूर इन्स्टाग्राम वापरले जाऊ लागले. पण अलीकडे इंस्टाग्राम वापरकर्त्यांच्या इनबॉक्समध्ये अचानक पासवर्ड रिसेट ईमेल्सचा पूर येऊ लागल्याचे दिसून आले. कोणतीही मागणी न करता आलेले हे ईमेल्स अनेकांना गोंधळात टाकणारे ठरले. खोलात जाऊन माहिती घेतल्यानंतर याच्या मुळाशी सायबर सुरक्षेच्या दृष्टीने एक महत्त्वाची आणि चिंताजनक घडामोड असल्याचे समोर आले. त्याच वेळी डार्क वेबवरील एका मंचावर सुमारे 17.5 दशलक्ष इंस्टाग्राम खात्यांची माहिती उपलब्ध झाल्याच्या बातम्यांनी वापरकर्त्यांच्या अस्वस्थतेत भर घातली.

सद्यस्थितीत दोन अब्जहून अधिक मासिक सक्रिय वापरकर्ते असलेले इंस्टाग्राम हे सायबर गुन्हेगारांचे प्रमुख लक्ष्य असणे स्वाभाविक आहे. वापरकर्त्यांचे खाते ताब्यात घेण्यासाठी ब्राऊझर एक्स्टेन्शनपासून ते फिशिंग मोहिमांपर्यंत अनेक क्लृप्त्या वापरल्या जातात. मात्र अलीकडे दिसून आलेली पद्धत तुलनेने अधिक सोपी आणि मानसशास्त्राrय दबाव निर्माण करणारी आहे. थेट इंस्टाग्रामकडून आलेला खरा पासवर्ड रिसेट करण्याबाबतचा ईमेल वापरकर्त्याला गोंधळात टाकणारा ठरला. असा ईमेल मिळाल्यावर साहजिकच ‘माझे खाते धोक्यात आहे’ अशी भावना निर्माण होते आणि घाईघाईने निर्णय घेण्याची शक्यता वाढते. हाच क्षण हल्लेखोरांसाठी महत्त्वाचा ठरतो.

‘याहू’ची डेटा गळती ही सायबर इतिहासातील सर्वात मोठय़ा डेटा गळतींपैकी एक घटना मानली जाते. 2013 आणि 2014 मध्ये दोन वेगवेगळ्या सायबर हल्ल्यांमध्ये याहूच्या सुमारे 3 अब्ज वापरकर्त्यांची खाती बाधित झाली. वापरकर्त्यांची नावे, ईमेल पत्ते, फोन क्रमांक, जन्मतारीख आणि एक्रिप्टेड पासवर्ड बाहेर गेले. ही बाब 2016 मध्ये उघडकीस आली होती आणि या गळतीमुळे याहूच्या व्हेरिझॉनसोबतच्या विक्री कराराच्या किमतीत कपात झाली. त्यापूर्वी 2013 मध्ये ऍडोबीच्या सॉफ्टवेअर प्रणालीत झालेल्या हल्ल्यात 15 कोटी वापरकर्त्यांची माहिती चोरीला गेली.

‘इक्विफॅक्स’ या अमेरिकेतील क्रेडिट रेटिंग कंपनीमध्ये झालेल्या डेटा लीक प्रकरणात 14.7 कोटी नागरिकांची अत्यंत संवेदनशील माहिती बाहेर पडली. सामाजिक सुरक्षा क्रमांक, जन्मतारीख, पत्ते आणि ड्रायव्हिंग लायसन्स तपशील ठकसेनांच्या हाती लागल्याने ही घटना आर्थिक आणि कायदेशीरदृष्टय़ा अत्यंत गंभीर ठरली. परिणामी, कंपनीला अब्जावधी डॉलर्सची नुकसानभरपाई आणि दंड भरावा लागला. 2018 मध्ये घडलेले फेसबुक-कॅम्ब्रिज ऍनालिटिका प्रकरण अद्यापही चर्चिले जाते. कारण यामध्ये तब्बल 8.7 कोटी फेसबुक वापरकर्त्यांचा डेटा परवानगीशिवाय राजकीय उद्देशांसाठी वापरण्यात आला. एका तृतीय-पक्ष ऍपद्वारे डेटा गोळा करून तो कॅम्ब्रिज ऍनालिटिका या राजकीय सल्लागार संस्थेला देण्यात आला. या प्रकरणामुळे फेसबुकवर जागतिक स्तरावर विश्वासाचा मोठा तडा गेला आणि डेटा गोपनीयतेवर गंभीर चर्चा सुरू झाली. 2018 मध्ये मॅरियट समूहाच्या स्टारवूड हॉटेल सिस्टीममध्ये दीर्घकाळ सुरू असलेल्या घुसखोरीमुळे 50 कोटी ग्राहकांची माहिती गळतीला लागली होती. यात पासपोर्ट क्रमांक, प्रवास तपशील, संपर्क माहिती आणि काही प्रकरणांत क्रेडिट कार्ड डेटा समाविष्ट होता. ही घुसखोरी अनेक वर्षे लक्षात न येणे, ही बाब अधिक धक्कादायक ठरली. 2022 मध्ये ट्विटरच्या एपीआयमधील त्रुटीचा वापर करून हॅकर्सनी 5.4 कोटी खात्यांचे ईमेल आणि फोन नंबर गोळा केले होते. ही माहिती नंतर डार्क वेबवर विक्रीसाठी ठेवण्यात आली. ही घटना थेट हॅकिंग न करता प्रणालीतील कमकुवत दुव्याचा वापर कसा केला जातो, याचे उदाहरण मानली जाते.

जानेवारीच्या पहिल्या आठवडय़ात अनेक वापरकर्त्यांना एकापाठोपाठ एक पासवर्ड रिसेट ईमेल्स मिळाले. हे ईमेल्स बनावट नव्हते, तर इंस्टाग्रामच्या अधिकृत प्रणालीतूनच पाठवले गेले होते. त्यामुळे पारंपरिक फिशिंगप्रमाणे लिंक खोटी आहे का, ईमेल ऍड्रेस संशयास्पद आहे का, अशी शंका निर्माण होण्यास वावच नव्हता. ईमेलमधील मजकूर मात्र स्पष्टपणे सांगतो की, तुम्ही ही रिक्वेस्ट केली नसेल तर पासवर्ड बदलला जाणार नाही. साहजिकच, हे वाचल्यानंतर घाबरलेला वापरकर्ता अनेकदा विचार न करता ‘रिसेट’ पर्यायावर लिक करतो. याच मानसिकतेवर हल्लेखोर अवलंबून असतात. या पार्श्वभूमीवर डार्क वेबवरील ‘ब्रिचफोरम्स’ या मंचावर 17.5 दशलक्ष खात्यांचा डेटाबेस उपलब्ध झाल्याची माहिती समोर आली. या डेटामध्ये वापरकर्त्यांची नावे, ईमेल पत्ते, फोन क्रमांक आणि युजर आयडी समाविष्ट असल्याचे सांगितले गेले. या घटनेचा आणि पासवर्ड रिसेट ईमेल्सच्या लाटेचा थेट संबंध आहे का, हा प्रश्न उपस्थित झाला. मेटाने मात्र आपल्या प्रणालीत कोणतीही घुसखोरी झालेली नाही, असे स्पष्ट केले. कंपनीच्या अधिकृत निवेदनानुसार एका त्रुटीमुळे बाहेरील व्यक्तींना पासवर्ड रिसेट ईमेल्स ट्रिगर करता येत होते, ती त्रुटी दुरुस्त करण्यात आली असून वापरकर्त्यांची खाती सुरक्षित आहेत असे सांगितले गेले. परंतु हे स्पष्टीकरण अनेकांना अपुरे वाटले. कारण प्रणालीत घुसखोरी झालेली नाही आणि वापरकर्त्यांची माहिती बाहेर नाही या दोन गोष्टी वेगळ्या आहेत. तसेच हा डेटाबेस नवीन नसून 2022 मध्ये एपीआयमधील त्रुटीतून गोळा झालेल्या जुन्या माहितीतून तयार झालेला आहे. ही माहिती 2024 मध्ये सायबर गुन्हेगारी गटांमध्ये फिरत होती, मात्र आता ती सार्वजनिकपणे उपलब्ध झाल्यामुळे तिचा गैरवापर मोठय़ा प्रमाणावर होऊ शकतो. या सगळ्या गोंधळात वापरकर्त्यांनी नेमके काय करावे, हा सर्वात महत्त्वाचा प्रश्न आहे. सर्वप्रथम कोणताही अनपेक्षित पासवर्ड रिसेट ईमेल मिळाल्यास घाई करू नये. ईमेलमधील लिंकवर लिक करण्याऐवजी थेट ऍप किंवा अधिकृत वेबसाईटवर जाऊन खाते सुरक्षित आहे का, हे तपासणे अधिक शहाणपणाचे ठरते. दुसरे म्हणजे प्रत्येक प्लॅटफॉर्मसाठी वेगळा आणि मजबूत पासवर्ड वापरणे आवश्यक आहे. यामुळे एका ठिकाणची माहिती लीक झाली तरी इतर खाती सुरक्षित राहतात. तिसरे आणि सर्वात महत्त्वाचे म्हणजे टू स्टेप ऑथेंटिकेशन सुरू ठेवणे. ओळख न झालेल्या उपकरणावरून लॉगिनचा प्रयत्न झाला तर अतिरिक्त कोडची गरज भासते आणि यामुळे हल्लेखोरांचा मार्ग अडतो. इंस्टाग्रामने काही प्रकारच्या खात्यांसाठी हे प्रमाणीकरण आपोआप सुरू केले आहे, मात्र अनेक सामान्य वापरकर्ते ते बंद करतात किंवा दुर्लक्ष करतात. सध्याच्या परिस्थितीत ही चूक महागात पडू शकते. खाते आधीच ताब्यात गेले असल्यास इंस्टाग्रामकडून दिलेल्या अधिकृत प्रक्रियेद्वारे ते परत मिळवण्याचा प्रयत्न करावा.

ही घटना केवळ इंस्टाग्रामपुरती मर्यादित नाही. ती आजच्या डिजिटल युगातील एक व्यापक वास्तव दाखवणारी आहे. सायबर गुन्हेगार थेट प्रणाली फोडण्याऐवजी कायदेशीर आणि वैध प्रक्रियांचा गैरवापर करून गोंधळ निर्माण करत आहेत. त्यामुळे कंपन्यांना केवळ अंतर्गत सुरक्षा नव्हे, तर वापरकर्त्यांचा अनुभव आणि त्यांच्यापर्यंत पोहोचणारे संकेत यांचाही गंभीरपणे विचार करावा लागणार आहे. डिजिटल सुरक्षितता ही एकदाच करून संपणारी गोष्ट नाही, तर सतत जागरुक राहण्याची प्रक्रिया आहे. घाई, भीती आणि गोंधळ यावर नियंत्रण ठेवले, तर अशा हल्ल्यांचा प्रभाव मोठय़ा प्रमाणावर कमी करता येऊ शकतो.

(लेखक संगणकतज्ञ आहेत)

संबंधित बातम्या या पब्लिशरकडून आणखी

विदेश दौऱ्याला तीस टक्के कात्री असताना मंत्री जयकुमार रावल अमेरिकेच्या दौऱ्यावर

अमेरिकेने हिंदुस्थानवरील टॅरिफ 7 टक्क्यांनी घटवले

मुद्दा – वातानुकूलित लोकलचे प्रवासी भाडे

तरुण पिढीच्या डिजिटल व्यसनाला आळा घालण्यासाठी टास्क फोर्स

कुसुमाग्रज प्रतिष्ठानचे गोदा गौरव पुरस्कार जाहीर

ताडदेवमध्ये म्हाडाचे नोकरदार महिलांसाठी आधुनिक वसतिगृह, 4 महिन्यांत काम सुरू होणार

शेख हसीना यांना 10 वर्षांचा कारावास, सरकारी भूखंड लाटल्याचा ठपका

एकनाथ शिंदेच्या प्रचार सभेला गर्दी जमविण्यासाठी महिला बचत गटांना सक्ती; चहा,नाष्टा आणि जेवणाचे आमिषाबरोबरच वाहतूकीसाठी बस

dr. v.m. gogate 39th anniversary and award ceremony in nashik 2026 (1)

नाशिकमध्ये आज डॉ. वि.म. गोगटे स्मृतिदिन सोहळा; संस्कृत भाषा प्रसारिणी सभा, ठाणे संस्थेला पुरस्कार