क्या आपको पता है लोग कैसे-कैसे पासवर्ड रखते हैं? स्ट्रॉन्ग पासवर्ड कैसे बनाना चाहिए? खराब पासवर्ड बनाने के क्या-क्या नुकसान हो सकते हैं? दुनिया भर के इंटरनेट यूजर्स द्वारा उपयोग किए जाने वाले पासवर्ड पर नॉर्डपास की एक रिपोर्ट है। इसी रिपोर्ट के आधार पर मिंट ने 15 नवंबर 2022 को एक स्टोरी प्रकाशित की।
आपको जानकर हैरानी होगी कि भारत में 3.4 मिलियन (34 लाख) से अधिक लोगों ने अपना पासवर्ड रखा है – ‘पासवर्ड (password)’। मतलब भारत के तमाम इंटरनेट यूजर्स के बीच सबसे आम या यूँ कहें कि सबसे कॉमन पासवर्ड है – ‘पासवर्ड (password)’।
भारत के लोगों के द्वारा password के बाद ‘123456’ दूसरा सबसे ज्यादा इस्तेमाल किया जाने वाला पासवर्ड है। आश्चर्यजनक रूप से, इस सूची में ‘BigBasket’ चौथे स्थान पर रहा। ऑनलाइन ग्रोसरी शॉप की लोकप्रियता को दर्शाते हुए रिपोर्ट में दावा किया गया कि यह भारत में चौथा सबसे आम पासवर्ड है।
बिगबास्केट ने खुशी में कर दिया प्रचार
बिगबास्केट ने यह जाने बिना कि नॉर्डपास ने यह सूची कैसे तैयार की, अपने आधिकारिक ट्विटर हैंडल पर मिंट की रिपोर्ट को दर्शा दिया। कंपनी को लगा कि यह गर्व करने वाली बात है। हालाँकि, चीजें उनके अनुकूल नहीं थीं क्योंकि रिपोर्ट में इस्तेमाल की गई जानकारी डेटा लीक की घटनाओं पर आधारित थी।
Just found out that @bigbasket_com is using this for PR.
— Ravi Handa (@ravihanda) November 17, 2022
IDIOTS! pic.twitter.com/1N2dmWlD3r
अब डिलीट कर दिए गए ट्वीट में बिगबास्केट ने लिखा, ”अपने पार्टनर का नाम ‘पासवर्ड’ के तौर पर रखना गलत। हमारे नाम को ‘पासवर्ड’ के रूप में रखना सही।” हालाँकि, जैसे ही उन्हें अहसास हुआ कि इसमें गर्व करने की कोई बात नहीं है और सूची का मतलब है कि उनके सर्वर मजबूत और सुरक्षित नहीं थे, कंपनी ने ट्वीट को हटा दिया।
पासवर्ड पर नॉर्डपास की रिपोर्ट के मायने
एक ट्विटर यूजर रवि हांडा ने इस मुद्दे पर एक विस्तृत थ्रेड लिखा है। इस थ्रेड से इसके बारे में समझा जा सकता है। हांडा ने यह समझने के लिए नॉर्डपास से संपर्क किया कि वे सबसे अधिक उपयोग किए जाने वाले पासवर्ड पर रिपोर्ट कैसे लेकर आए। ईमेल करके हांडा ने नॉर्डपास से डेटा के स्रोत के बारे में पूछा।
I am sure by now you would have seen the list of “most common passwords of 2022”.
— Ravi Handa (@ravihanda) November 17, 2022
Probably you would have been surprised by seeing Bigbasket as no. 4 on the list. I sure was.
However, I would argue it is a matter of SHAME for BB and not pride. pic.twitter.com/OMeR8Vuvcc
जवाब में नॉर्डपास ने पुष्टि की कि उन्होंने स्वतंत्र शोधकर्ताओं के साथ मिलकर सूची तैयार की है, जिन्होंने 3 टेरा बाइट डेटा का अध्ययन किया।
I am sure by now you would have seen the list of “most common passwords of 2022”.
— Ravi Handa (@ravihanda) November 17, 2022
Probably you would have been surprised by seeing Bigbasket as no. 4 on the list. I sure was.
However, I would argue it is a matter of SHAME for BB and not pride. pic.twitter.com/OMeR8Vuvcc
दिलचस्प बात यह है कि उन्होंने स्पष्ट रूप से बताया कि जिन स्वतंत्र शोधकर्ताओं के साथ उन्होंने काम किया, वे साइबर सुरक्षा विशेषज्ञ थे। इसके अलावा, यह पूछे जाने पर कि 3-टीबी डेटा कहाँ से आया, नॉर्डपास ने कहा कि वे स्रोत का खुलासा नहीं कर सकते क्योंकि उन्होंने स्रोत के साथ एक ‘नन डिस्क्लोजर एग्रीमेंट (एनडीए)’ पर हस्ताक्षर किए थे। नॉर्डपास ने यह भी उल्लेख किया कि उक्त जानकारी एकत्र करने के लिए उनके पास किसी कंपनी या सर्वर के डेटाबेस तक पहुँच नहीं थी, जिससे यह स्पष्ट होता है कि पासवर्ड सूची लीक हुए डेटा से मिली है।
इसके अलावा, मिंट की रिपोर्ट में भी स्पष्ट रूप से बताया गया कि ‘पासवर्ड डेटा’ सुरक्षा विशेषज्ञों द्वारा विश्लेषण किए गए डेटा के आधार पर संकलित किए गए थे। नॉर्डपास के अनुसार, इस वर्ष 200 सबसे अधिक उपयोग किए जाने वाले पासवर्डों में से 73% पिछले वर्ष के समान थे।
नॉर्डपास की बनाई सूची में लगभग 83% पासवर्ड को एक सेकंड के भीतर क्रैक करना आसान था, जिसमें ‘पासवर्ड’ और ‘123456’ शामिल हैं। रिपोर्ट में बता दिया गया है कि हैकर्स को पासवर्ड के रूप में ‘बिगबास्केट’ का उपयोग करने वाले उपयोगकर्ताओं के पासवर्ड को क्रैक करने में लगभग पाँच मिनट का समय लगेगा।
बिगबास्केट और 2020 का डेटा सुरक्षा मामला
बिगबास्केट अक्टूबर 2020 में डेटा उल्लंघन के लिए जाँच के दायरे में रहा है। रिपोर्ट के अनुसार, लगभग 20 मिलियन उपयोगकर्ताओं का डेटा कथित रूप से लीक हो गया था। अप्रैल 2021 में, शाइनीहंटर्स के रूप में पहचाने जाने वाले एक हैकर समूह ने कथित तौर पर एक हैकर फोरम पर मुफ्त में डेटा जारी किया था। हैकर ने लिखा था कि डेटा फाइल में यूजर्स के ईमेल, पासवर्ड, नाम, फोन नंबर, पता, ऑर्डर डिटेल्स और अन्य जानकारियाँ हैं।
सूचना सुरक्षा फर्म Cyble Inc. ने इस उल्लंघन की पहचान की थी और 7 नवंबर 2020 को अपनी वेबसाइट पर एक पोस्ट प्रकाशित की थी। 1 नवंबर 2020 को उन्होंने ‘बिगबास्केट’ को उल्लंघन के बारे में सूचित किया था। कंपनी ने उनसे उल्लंघन का खुलासा नहीं करने का आग्रह किया। Cyble ने उन्हें सलाह दी कि वे ग्राहकों को बताएँ क्योंकि उन्हें उल्लंघन के बारे में जानने का अधिकार है।
7 नवंबर 2020 को Cyble ने उल्लंघन के बारे में सार्वजनिक खुलासा किया। 9 नवंबर 2020 को बिगबास्केट ने स्वीकार किया कि डेटा लीक हो गया था। यह ध्यान दिया जाना चाहिए कि न केवल बिगबास्केट के डेटा बल्कि अन्य कंपनियों के डेटा भी लीक (मतलब चोरी) हो गए था। Cyble को बाद में पता चला कि कुख्यात हैकर समूह शाइनीहंटर्स इस उल्लंघन के पीछे था।
यह संभव है कि सामान्य (कॉमन) पासवर्ड सूची को संकलित करने के लिए उपयोग किए गए लीक डेटा में बिगबास्केट से लीक हुआ डेटा भी शामिल है। इस बात की बहुत अधिक संभावना है कि बिगबास्केट को पासवर्ड के रूप में उपयोग करने वाले अधिकांश लोग ऑनलाइन स्टोर के ग्राहक हैं। संभवत: उन्होंने इसे अपने बिगबास्केट अकाउंट के लिए उपयोग किया हो।
ऑपइंडिया ने इस लिस्ट के बारे में नॉर्डपास से संपर्क किया है। जैसे ही उनका मेल आएगा, हम इस खबर को अपडेट करेंगे।
