इंस्टाग्राम से बैंक खातों तक, चुपचाप लीक हुए 16 बिलियन पासवर्ड्स, सरकार ने जारी की चेतावनी

नई द‍िल्‍ली. कल्पना कीजिए कि आप अपना दिन शुरू कर रहे हैं और आपको पता चलता है कि आपने ज‍िस पासवर्ड को कभी यूज क‍िया है, चाहे वह इंस्टाग्राम हो या बैंक अकाउंट, अब डार्क वेब पर घूम रहे हैं. यह एक टेक्नोलॉजी का बुरा सपना जैसा लगता है, है ना? लेकिन लाखों लोगों के लिए यह पहले से ही एक डरावनी हकीकत हो सकती है. विशेषज्ञ इसे इंटरनेट इतिहास का सबसे बड़ा डेटा ब्रीच कह रहे हैं. 16 बिलियन से अधिक लॉगिन क्रेडेंशियल्स लीक हो चुके हैं. और ये पुरानी बात नहीं है. ये ताजा, संगठित और एडवांस इंफोस्टीलर मैलवेयर का उपयोग करके एकत्रित की गई जानकारी है.

यह कैसे हुआ?
यह कोई सामान्य साइबर हमला नहीं था. कोई फायरवॉल नहीं तोड़ा गया, कोई जीरो-डे कमजोरियां नहीं खोली गईं. इसके बजाय, यह ब्रीच धीरे-धीरे, वर्षों में हुआ. डेटा को चुपचाप इंफोस्टीलर मैलवेयर का उपयोग करके एकत्रित किया गया, जो संक्रमित उपकरणों पर छिपकर, बिना किसी चेतावनी के लॉगिन क्रेडेंशियल्स को चुपचाप चुरा लेता है.

रॉयटर्स की रिपोर्ट के अनुसार, लीक हुए डेटा का एक हिस्सा पुराने, पहले से ही समझौता किए गए पासवर्ड डंप से आता है. लेकिन इस बार की चोरी को खास बनाता है नए इंफोस्टीलर लॉग्स का शामिल होना. साइबरन्यूज के अनुसार, यही इसे विशेष रूप से खतरनाक बनाता है, खासकर उन संगठनों के लिए जो मल्टी-फैक्टर ऑथेंटिकेशन का उपयोग नहीं करते या अच्छे क्रेडेंशियल हाइजीन का पालन नहीं करते. सीधे शब्दों में कहें, अगर आप अभी भी पासवर्ड दोबारा उपयोग कर रहे हैं या अतिरिक्त सुरक्षा परतों को नजरअंदाज कर रहे हैं, तो आप गंभीर मुसीबत में पड़ सकते हैं.

इस डेटा सेट में यूजरनेम, पासवर्ड, ऑथेंटिकेशन टोकन, सेशन कुकीज और मेटाडेटा शामिल हैं, जो जानकारी को व्यक्तिगत यूजर्स और प्लेटफॉर्म्स से जोड़ते हैं.

भारत की साइबर सुरक्षा एजेंसी ने जारी की चेतावनी
भारत की साइबर सुरक्षा एजेंसी, कंप्यूटर इमरजेंसी रिस्पांस टीम (CERT-In), ने एक बड़ी डेटा लीक की खोज के बाद एक महत्वपूर्ण चेतावनी जारी की है. ये चेतावनी, CTAD-2025-0024 टैग के साथ और 23 जून की तारीख वाली है, जिसमें यूजर्स को Apple, Google, Facebook, Telegram, GitHub और कई VPN सेवाओं से एकत्रित संवेदनशील जानकारी के बड़े पैमाने पर खुलासे के बारे में आगाह किया गया है.

CERT-In ने इस लीक से पैदा हुई कई खतरों को चिन्हित किया है. इनमें क्रेडेंशियल स्टफिंग अटैक शामिल हैं, जहां चोरी किए गए लॉगिन विवरण का उपयोग विभिन्न सेवाओं में अनधिकृत पहुंच प्राप्त करने के लिए किया जाता है; फिशिंग और सोशल इंजीनियरिंग, जिसमें विस्तृत मेटाडेटा की मदद ली जाती है; व्यक्तिगत और वित्तीय प्लेटफार्मों के अकाउंट टेकओवर और अधिक परिष्कृत साइबर हमले जैसे रैनसमवेयर और बिजनेस ईमेल कम्प्रोमाइज शामिल हैं.

लीक मुख्य रूप से दो स्रोतों से हुआ – ब्राउजर और फाइलों में संग्रहीत क्रेडेंशियल्स चुराने वाला मैलवेयर और गलत कॉन्फि‍गरेशन के कारण सार्वजनिक रूप से उजागर किए गए डेटाबेस से. वॉचडॉग ने प्रभावित अकाउंट्स की बड़ी संख्या और शामिल विभिन्न प्लेटफार्मों के कारण खतरे की गंभीरता पर जोर दिया.

खुद को कैसे बचाएं?
जोखिम को कम करने के लिए, CERT-In ने सभी उपयोगकर्ताओं को तुरंत पासवर्ड अपडेट करने की सलाह दी, विशेष रूप से बैंकिंग, सोशल मीडिया और सरकारी पोर्टल जैसे उच्च-जोखिम वाले प्लेटफार्मों पर. यूजर्स को अक्षरों, संख्याओं और प्रतीकों के संयोजन का उपयोग करके मजबूत, यून‍िक पासवर्ड बनाने चाहिए और पासवर्ड का दोबारा उपयोग करने से बचना चाहिए. एजेंसी ने अतिरिक्त सुरक्षा के लिए मल्टी-फैक्टर ऑथेंटिकेशन सक्षम करने, फ‍िशिंग प्रयासों के प्रति सतर्क रहने और सुरक्षित क्रेडेंशियल्स को स्टोर और जनरेट करने के लिए विश्वसनीय पासवर्ड मैनेजर्स का उपयोग करने की भी सिफारिश की.