सावधान-भारत के 10 करोड़ यूजर्स का डेटा चोरी,डार्क वेब पर डेबिट और क्रेडिट कार्ड की जानकारी बिक रही, ज्यादातर डेटा Juspay सर्वर से लीक हुआ
भारत के 10 करोड़ यूजर्स का डेटा चोरी:डार्क वेब पर डेबिट और क्रेडिट कार्ड की जानकारी बिक रही, ज्यादातर डेटा Juspay सर्वर से लीक हुआ
नई दिल्ली। एक बार फिर भारतीय यूजर्स के क्रेडिट और डेबिट कार्ड के डेटा चोरी की खबरें आ रही हैं। साइबर सुरक्षा मामलों के साइबर सिक्योरिटी रिसर्चर राजशेखर राजहरिया ने दावा किया कि देश के करीब 100 मिलियन (10 करोड़) क्रेडिट और डेबिट कार्ड धारकों के डेटा डार्क वेब पर बेचा जा रहे हैं। डार्क वेब पर मौजूद ज्यादातर डेटा बेंगलुरु स्थित डिजिटल पेमेंट्स गेटवे जसपे (Juspay) के सर्वर से लीक हुआ है। बीते महीने राजशेखर ने देश के 7 मिलियन (70 लाख) से ज्यादा यूजर्स के क्रेडिट और डेबिट कार्ड का डेटा लीक होने का दावा किया था।
रिसर्चर के मुताबिक, ये डेटा डार्क वेब पर बेचा जा रहा है। लीक डेटा में भारतीय कार्डधारकों के नाम के साथ उनके मोबाइल नंबर्स, इनकम लेवल्स, ईमेल आईडी, परमानेंट अकाउंट नवंबर (PAN) और कार्ड के पहला और आखिरी चार डिजिट की डिटेल्स शामिल हैं। उन्होंने सोशल मीडिया पर इसके स्क्रीनशॉट भी शेयर किए हैं।
10 Crore Indian Cardholder's Cards Data Including Name, Mobile, BankName Leaked from @juspay Server. Available for Sell on DarkWeb.
Story – https://t.co/WczIrFeLel #Infosec #DataLeak #DataBreach #infosecurity #CyberSecurity #GDPR #DataSecurity #Banks #CreditCard #dataprotection pic.twitter.com/X1KYcP8WSh— Rajshekhar Rajaharia (@rajaharia) January 3, 2021
Juspay ने यूजर्स से कम संख्या बताई
कंपनी ने इस बारे में बताया कि साइबर अटैक के दौरान किसी भी कार्ड के नंबर या फाइनेंशियल डिटेल से कोई समझौता नहीं हुआ है। रिपोर्ट में 10 करोड़ यूजर्स के डेटा लीक होने की बात कही जा रही है, जबकि असली संख्या उससे काफी कम है।
Your security and privacy are at the core of everything we do at Juspay.
Here's our response to the recent news regarding data breach at Juspay. Please read it before you retweet another sensational headline. 🙏https://t.co/VJZUZPFYAh— JUSPAY (@juspay) January 4, 2021
कंपनी के प्रवक्ता ने एक बयान में कहा है कि 18 अगस्त, 2020 को हमारे सर्वर तक अनधिकृत तौर पर पहुंचने की कोशिश किए जाने का पता चला था, जिसे बीच में ही रोक दिया गया। इससे किसी कार्ड का नंबर, वित्तीय साख या लेनदेन का डेटा लीक नहीं हुआ। कुछ गैर-गोपनीय डेटा, प्लेन टेक्स्ट ईमेल तथा फोन नंबर लीक हुए, लेकिन उनकी संख्या 10 करोड़ से काफी कम है।
बिटकॉइन के जरिए बेचा जा रहा डेटा
इधर राजहरिया का दावा है कि डेटा डार्क वेब पर क्रिप्टो करेंसी बिटकॉइन के जरिए अघोषित कीमत पर बेचा जा रहा है। इस डेटा के लिए हैकर भी टेलीग्राम के जरिए संपर्क कर रहे हैं। जसपे यूजर्स के डेटा स्टोर करने में पेमेंट कार्ड इंडस्ट्री डेटा सिक्योरिटी स्टैंडर्ड (PCIDSS) का पालन करती है। यदि हैकर कार्ड फिंगरप्रिंट बनाने के लिए हैश अल्गोरिथम का इस्तेमाल कर सकते हैं तो वे मास्कस्ड कार्ड नंबर को भी डिक्रिप्ट कर सकते हैं। इस स्थिति में सभी 10 करोड़ कार्डधारकों के अकाउंट को खतरा हो सकता है।
कंपनी ने इस बात को माना है कि हैकर की पहुंच Juspay के एक डेवलपर तक हो गई थी। जो डेटा लीक हुए हैं, वे संवेदनशील नहीं माने जाते हैं। सिर्फ कुछ फोन नंबर और ईमेल एड्रेस लीक हुए हैं। फिर भी कंपनी ने डेटा लीक होने के दिन ही अपने मर्चेट पार्टनर को सूचना दे दी थी।
दिसंबर में लीक हुआ था 70 लाख यूजर्स का डेटा
बीते महीने देश के 7 मिलियन (70 लाख) से ज्यादा यूजर्स के क्रेडिट और डेबिट कार्ड का डेटा लीक हुआ था। राजशेखर राजाहरिया ने डार्क वेब पर गूगल ड्राइव लिंक की खोज की थी, जिसे “Credit Card Holders data” के नाम का टाइटल दिया गया था। यह गूगल ड्राइव लिंक के माध्यम से डाउनलोड के उपलब्ध थी। इसमें भारतीय कार्डधारकों के केवल नाम ही नहीं बल्कि उनके मोबाइल नंबर्स, इनकम लेवल्स, ईमेल आइडी और परमानेंट अकाउंट नवंबर (PAN) डिटेल्स शामिल थी।
क्या होता है डार्क वेब?
इंटरनेट पर ऐसी कई वेबसाइट हैं जो ज्यादातर इस्तेमाल होने वाले गूगल, बिंग जैसे सर्च इंजन और सामान्य ब्राउजिंग के दायरे में नहीं आती। इन्हें डार्क नेट या डीप नेट कहा जाता है। इस तरह की वेबसाइट्स तक स्पेसिफिक ऑथराइजेशन प्रॉसेस, सॉफ्टवेयर और कॉन्फिग्रेशन के मदद से पहुंचा जा सकता है सूचना प्रौद्योगिकी अधिनियम, 2000 देश में सभी प्रकार के प्रचलित साइबर अपराधों को संबोधित करने के लिए वैधानिक रूपरेखा प्रदान करता है। ऐसे अपराधों के नोटिस में आने पर कानून प्रवर्तन एजेंसियां इस कानून के अनुसार ही कार्रवाई करती हैं।
इंटरनेट एक्सेस के तीन पार्ट
1. सरफेस वेब: इस पार्ट का इस्तेमाल डेली किया जाता है। जैसे, गूगल या याहू जैसे सर्च इंजन पर की जाने वाली सर्चिंग से मिलने वाले रिजल्ट। ऐसी वेबसाइट सर्च इंजन द्वारा इंडेक्स की जाती है। इन तक आसानी से पहुंचा जा सकता है।
2. डीप वेब: इन तक सर्च इंजन के रिजल्ट से नहीं पहुंचा जा सकता। डीप वेब के किसी डॉक्यूमेंट तक पहुंचने के लिए उसके URL एड्रेस पर जाकर लॉगइन करना होता है। जिसके लिए पासवर्ड और यूजर नेम का इस्तेमाल किया जाता है। इनमें अकाउंट, ब्लॉगिंग या अन्य वेबसाइट शामिल हैं।
3. डार्क वेब: ये इंटरनेट सर्चिंग का ही हिस्सा है, लेकिन इसे सामान्य रूप से सर्च इंजन पर नहीं ढूंढा जा सकता। इस तरह की साइट को खोलने के लिए विशेष तरह के ब्राउजर की जरूरत होती है, जिसे टोर कहते हैं। डार्क वेब की साइट को टोर एन्क्रिप्शन टूल की मदद से छुपा दिया जाता है। ऐसे में कोई यूजर्स इन तक गलत तरीके से पहुंचता है तो उसका डेटा चोरी होने का खतरा हो जाता है।