नमस्ते दोस्तों! मैं Avishek Giri आप सभी का स्वागत करता हूं। दुनिया की सबसे लोकप्रिय मैसेजिंग ऐप WhatsApp एक बार फिर चर्चा में है, लेकिन इस बार वजह कोई नया फीचर नहीं, बल्कि एक ऐसा सुरक्षा खतरा है जिसने दुनियाभर के करीब सभी यूजर्स की प्राइवेसी को सवालों में खड़ा कर दिया है। हाल ही में सिक्योरिटी रिसर्चर्स ने दावा किया है कि WhatsApp की एक बड़ी खामी की वजह से 3.5 अरब फोन नंबर और लाखों यूजर्स की प्रोफाइल फोटो तक एक्सेस किया जा सकता था। इससे यह खतरा पैदा हो गया था कि यह दुनिया का सबसे बड़ा डेटा लीक बन सकता था।
इस रिपोर्ट ने टेक इंडस्ट्री में हलचल मचा दी है क्योंकि जिस ऐप का इस्तेमाल लोग अपनी सबसे निजी बातचीत के लिए करते हैं, उसी ऐप में ऐसी खामी का मिलना बेहद चिंता की बात है। सबसे चौंकाने वाली बात यह है कि इस खतरे के बारे में Meta को साल 2017 में ही अलर्ट कर दिया गया था, फिर भी इसे समय रहते ठीक नहीं किया गया।
3.5 अरब फोन नंबर तक पहुंचने की आसान ट्रिक
ऑस्ट्रिया के सिक्योरिटी रिसर्चर्स के एक ग्रुप ने खुलासा किया है कि वे WhatsApp के Contact Discovery फीचर में एक साधारण ट्रिक का इस्तेमाल करके किसी भी नंबर की वैधता चेक कर पा रहे थे। यह फीचर इस तरह से बना है कि WhatsApp आपके फोन की कॉन्टैक्ट लिस्ट के नंबरों को ऐप में सिंक कर देता है ताकि आप यह जान सकें कि कौन WhatsApp पर एक्टिव है।
लेकिन इसी फीचर ने एक loophole बना दिया, जिसमें रिसर्चर्स ने हर संभावित नंबर को चेक करके यह पता लगा लिया कि वह WhatsApp पर मौजूद है या नहीं। इस तरीके से उन्हें 3.5 अरब से ज्यादा एक्टिव WhatsApp अकाउंट्स की जानकारी मिल गई।
रिपोर्ट में यह भी कहा गया है कि इस प्रक्रिया में वे हर घंटे करीब 100 मिलियन यानी दस करोड़ नंबरों को चेक कर पा रहे थे। इस स्पीड से थोड़े समय में ही पूरी दुनिया के WhatsApp यूजर्स का विशाल डेटा इकट्ठा करना संभव हो जाता है।
57% यूजर्स की प्रोफाइल फोटो तक पहुंच संभव
सबसे डरावनी बात यह रही कि इस खामी के कारण केवल फोन नंबर ही नहीं, बल्कि कई यूजर्स की पर्सनल डीटेल्स भी एक्सेस की जा सकती थीं।
रिसर्चर्स के मुताबिक:
57% यूजर्स की प्रोफाइल फोटो देखना संभव था।
29% यूजर्स के About सेक्शन में लिखा गया टेक्स्ट भी पढ़ा जा सकता था।
इसका मतलब यह है कि सिर्फ फोन नंबर ही लीक नहीं हुए थे, बल्कि यूजर की पहचान से जुड़ी जानकारी भी खतरे में थी। कई लोगों का मानना है कि अगर यह डेटा गलत हाथों में चला जाता, तो इसका इस्तेमाल स्पैमिंग, फ्रॉड, फिशिंग और सोशल इंजीनियरिंग हमलों में आसानी से किया जा सकता था।
गलत हाथों में जाने पर हो सकता था इतिहास का सबसे बड़ा डेटा लीक
रिसर्चर्स ने चेतावनी दी कि यह खामी बेहद गंभीर थी और अगर इसे साइबर अपराधियों ने खोज लिया होता, तो यह इतिहास का सबसे बड़ा डेटा लीक साबित हो सकता था।
रिसर्चर्स ने इस खामी का इस्तेमाल केवल रिसर्च के उद्देश्य से किया और एक विशाल ग्लोबल डेटाबेस तैयार किया, लेकिन उन्होंने समय रहते WhatsApp को इसकी जानकारी भी दे दी। यह भी स्पष्ट किया कि अगर यह डेटा किसी हमलावर को मिल जाता, तो वह लाखों-करोड़ों यूजर्स की पहचान, लोकेशन और प्रोफाइल डीटेल्स तक आसानी से पहुंच सकता था।
छह महीने तक खुली रही खामी
सबसे चौंकाने वाली बात यह है कि Meta को साल 2017 में ही इस खामी के बारे में बता दिया गया था। एक दूसरे रिसर्चर ने उस समय यह रिपोर्ट Meta को भेजी थी कि Contact Discovery फीचर को गलत तरीके से इस्तेमाल किया जा सकता है और फोन नंबरों का विशाल डेटाबेस बनाया जा सकता है।
इसके बावजूद Meta ने तत्काल कोई मजबूत रेट-लिमिट या सुरक्षा उपाय लागू नहीं किए। नतीजा यह हुआ कि यह loophole सालों तक खुला रहा और रिसर्चर्स लाखों नंबर प्रति घंटे की स्पीड से चेक करते रहे।
रिपोर्ट के अनुसार Meta को इस खामी को ठीक करने और रेट-लिमिटिंग लागू करने में लगभग छह महीने का समय लग गया।
WhatsApp की प्रतिक्रिया: खामी को माना, लेकिन जिम्मेदारी तय नहीं
जब यह रिपोर्ट सामने आई तो WhatsApp के इंजीनियरिंग वाइस प्रेसिडेंट नितिन गुप्ता ने Wired को दिए इंटरव्यू में कहा कि यह स्टडी उनके एंटी-स्क्रैपिंग फीचर को बेहतर बनाने में मददगार साबित हुई।
उन्होंने कहा कि:
किसी भी तरह के मलीशियस एक्टर्स द्वारा इस फीचर के दुरुपयोग का कोई सबूत नहीं मिला।
WhatsApp की एंड-टू-एंड एन्क्रिप्शन के कारण यूजर्स के मैसेज पूरी तरह सुरक्षित रहे।
रिसर्चर्स को कोई भी नॉन-पब्लिक डेटा उपलब्ध नहीं था।
हालांकि इन बयानों के बावजूद यह सवाल बना हुआ है कि अगर यह खामी 2017 में सामने आ गई थी, तो इसे समय रहते क्यों नहीं सुधारा गया।
Contact Discovery फीचर कितना खतरनाक साबित हुआ
Contact Discovery फीचर WhatsApp का एक बेसिक फीचर है, जिसका इस्तेमाल ऐप यूजर्स की फोनबुक से नंबर सिंक करने में करता है। इसका उद्देश्य यह होता है कि जैसे ही कोई नंबर WhatsApp पर रजिस्टर हो, यूजर को पता चल जाए।
लेकिन इसी फीचर ने एक ऐसा रास्ता खोल दिया जिससे कोई भी रिसर्चर या स्क्रैपर बिना किसी रुकावट के करोड़ों फोन नंबर चेक कर सकता था। जब एक ऐप इतना बड़ा यूजर बेस रखता हो, तो इस तरह की खामी बहुत बड़े खतरे को जन्म देती है।
साइबर सिक्योरिटी एक्सपर्ट्स का कहना है कि Contact Discovery फीचर्स को दुनिया भर में कई ऐप्स में redesign करने की जरूरत है क्योंकि ये फीचर्स अकसर डेटा लीक का सबसे आसान रास्ता साबित होते हैं।
क्या आपका WhatsApp डेटा भी खतरे में था
रिपोर्ट के अनुसार, दुनिया भर में मौजूद लगभग सभी WhatsApp यूजर्स के नंबर इस खामी के दायरे में आ सकते थे। इसका मतलब है कि चाहे वह भारत, अमेरिका, यूरोप या किसी भी देश का यूजर हो, उसके नंबर तक पहुंच संभव थी।
अगर आपका मोबाइल नंबर WhatsApp पर रजिस्टर्ड है, तो यह संभावना थी कि वह इस डेटा सर्च में शामिल रहा हो। हालांकि प्रोफाइल फोटो और About देखने की संभावना यूजर की प्राइवेसी सेटिंग्स पर निर्भर रही।
WhatsApp की सुरक्षा पर उठे सवाल
WhatsApp हमेशा से अपने एंड-टू-एंड एन्क्रिप्शन पर गर्व करता है, लेकिन यह घटना साबित करती है कि एन्क्रिप्शन सिर्फ मैसेजेस को सुरक्षित करता है, अकाउंट की पहचान से जुड़े डेटा को नहीं।
यूजर्स अब इस बात को लेकर चिंतित हैं कि WhatsApp जैसे बड़े प्लेटफॉर्म में अगर इतनी बड़ी खामी खुल सकती है, तो छोटे ऐप्स में सुरक्षा का स्तर कितना कमजोर होगा।
अब आगे क्या
Meta ने अब इस खामी को ठीक करने और रेट-लिमिट लागू करने का दावा किया है। लेकिन साइबर एक्सपर्ट्स का मानना है कि WhatsApp और Meta को अपने सिस्टम का गहराई से ऑडिट करना चाहिए क्योंकि इतनी बड़ी समस्या का सालों तक अनदेखा होना चिंता की बात है।
डिजिटल दुनिया में प्राइवेसी सबसे बड़ी जरूरत है और ऐसे में टेक कंपनियों की जिम्मेदारी और भी बढ़ जाती है।
Conclusion
WhatsApp में मिली यह सुरक्षा खामी दुनिया के सबसे बड़े डेटा लीक का कारण बन सकती थी। 3.5 अरब यूजर्स के नंबर, 57% की प्रोफाइल फोटो और 29% के About सेक्शन तक पहुंच संभव होना एक गंभीर खतरा है। यह घटना दिखाती है कि किसी भी ऐप की लोकप्रियता उसकी सुरक्षा की गारंटी नहीं होती।
Meta ने अब इस खामी को ठीक कर दिया है, लेकिन यूजर्स को अपनी प्राइवेसी सेटिंग्स अपडेट रखनी चाहिए और जरूरत पड़ने पर प्रोफाइल फोटो या About को प्राइवेट करना चाहिए।
यह मामला भविष्य में टेक कंपनियों के लिए एक बड़ा सबक बन सकता है कि सुरक्षा से कोई समझौता नहीं किया जा सकता।
यह भी पढ़े।
