इंटरनेट सुरक्षा को लेकर एक और बड़ा खतरा सामने आया है। दुनिया भर में लगभग 1.3 अरब यूज़र्स के पासवर्ड चोरी होने की खबर ने साइबर सुरक्षा एजेंसियों को अलर्ट पर ला दिया है। इसके साथ ही करीब 2 बिलियन ईमेल एड्रेस भी खतरे में हैं। दिलचस्प बात यह है कि यह डेटा किसी एक बड़े हैक का नतीजा नहीं है, बल्कि पिछले कई वर्षों में अलग-अलग लीक हुई लॉगिन जानकारियों को इकट्ठा करके एक विशाल डेटाबेस के रूप में तैयार किया गया है। साइबर सुरक्षा विशेषज्ञ चेतावनी दे रहे हैं कि यह संग्रहित डेटा अपराधियों के लिए बेहद खतरनाक हथियार साबित हो सकता है, क्योंकि इससे credential-stuffing अटैक की संभावना कई गुना बढ़ जाती है।
इस डेटा को इकट्ठा करने का काम साइबर इंटेलिजेंस कंपनी Synthient ने किया। कंपनी पहले भी 18 करोड़ से ज्यादा लीक हुए ईमेल अकाउंट्स का पता लगा चुकी है और यह नया डेटाबेस उसी अभियान का व्यापक विस्तार है। Synthient ने इंटरनेट पर मौजूद पुराने हैक्स, पब्लिक डंप्स और उन credential-stuffing लिस्टों को स्कैन किया जिन्हें अपराधी खरीदकर कई वेबसाइट्स पर आजमाते हैं। इसी मिश्रित डेटा को एक साथ व्यवस्थित कर एक सर्चेबल फॉर्म में तैयार किया गया है।
इस प्रक्रिया में कंपनी ने Have I Been Pwned प्लेटफॉर्म के निर्माता Troy Hunt की मदद ली, जो लंबे समय से डेटा लीक का विश्लेषण कर रहे हैं। Hunt ने अपना पुराना ईमेल इस्तेमाल कर इस डेटाबेस को जांचा और पाया कि कई चोरी हुए पासवर्ड उसमें मौजूद थे। उन्होंने HIBP के कुछ सब्सक्राइबर्स से अपने अकाउंट की जांच करवाकर यह भी पुष्टि की कि इस संग्रह में कुछ ऐसे पासवर्ड भी मिले हैं जो पहले कभी लीक डेटाबेस में नहीं दिखे थे। यह इस डेटा की गंभीरता को और बढ़ा देता है।
चिंता की बात यह है कि इस तरह के डेटा लीक का प्रभाव अचानक सामने नहीं आता। अपराधी अक्सर इन्हें खरीदकर महीनों तक चुपचाप इस्तेमाल करते रहते हैं और यूज़र्स को पता भी नहीं चलता कि उनका अकाउंट कब हैक हो जाए। ऐसे में यह आवश्यक हो जाता है कि हर इंटरनेट यूज़र अपने पासवर्ड की सुरक्षा को लेकर तुरंत कदम उठाए।
Have I Been Pwned ने इस नए डेटाबेस में मौजूद सभी पासवर्ड्स को अपने ‘Pwned Passwords’ फीचर में जोड़ दिया है। यह टूल पासवर्ड को सुरक्षित तरीके से चेक करने की सुविधा देता है, जिसमें आपका पासवर्ड कहीं भी सेव नहीं होता और पूरी प्रक्रिया आपके ब्राउज़र में ही होती है। यदि आपका पासवर्ड इस लीक में पाया जाता है, तो उसे तुरंत बदलना ही सबसे सुरक्षित विकल्प है। इसके लिए Bitwarden, LastPass या Proton Pass जैसे पासवर्ड मैनेजर काफी उपयोगी साबित होते हैं, क्योंकि ये मजबूत और यूनिक पासवर्ड तैयार करते हैं।
सिर्फ पासवर्ड बदलना ही पर्याप्त नहीं है। अकाउंट सुरक्षा बढ़ाने के लिए दो-फैक्टर ऑथेंटिकेशन जरूर चालू करना चाहिए, क्योंकि इससे पासवर्ड लीक होने पर भी अकाउंट तुरंत हैक नहीं किया जा सकता। साथ ही एक ही पासवर्ड को कई वेबसाइट्स पर इस्तेमाल करने की आदत बेहद जोखिम भरी होती है, क्योंकि हैकर्स अक्सर यही तरीका अपनाकर दर्जनों अकाउंट्स तक पहुंच बना लेते हैं। फोन और लैपटॉप पर विश्वसनीय एंटीवायरस और संदिग्ध लिंक से दूर रहना भी आवश्यक है।
नई तकनीक में पासकीज़ का विकल्प भी तेजी से लोकप्रिय हो रहा है, जो पासवर्ड की जगह सुरक्षित क्रिप्टोग्राफिक कुंजी का इस्तेमाल करती हैं और फिशिंग या चोरी जैसी स्थितियों में भी सुरक्षित रहती हैं। विशेषज्ञ मानते हैं कि समय रहते डिजिटल सावधानियां न अपनाई जाएँ तो इस तरह के मेगा डेटा लीक इंटरनेट उपयोगकर्ताओं के लिए गंभीर खतरा बन सकते हैं।