अपने वेब ब्राउजर में कुछ अक्षर और नंबर टाइप करते हुए, मैं पूरी तरह से अजनबियों के पहचान दस्तावेजों को देखकर असमंजस में पड़ जाता हूं। जर्मनी की एक युवती का पासपोर्ट. सिर पर चश्मा लगाए स्पेन के एक व्यक्ति का पासपोर्ट। किसी अन्य व्यक्ति के ड्राइविंग लाइसेंस के आगे और पीछे, उसके चेहरे पर एक रूढ़िवादी मूर्खतापूर्ण अभिव्यक्ति।
वे सभी सार्वजनिक यूआरएल पर बिना किसी पासवर्ड या किसी भी प्रकार के एक्सेस नियंत्रण के असुरक्षित बैठे थे। अगर मैंने आपको एक लिंक भेजा होता, तो आप किसी के पासपोर्ट को देख सकते थे।
सैमी अज़दौफ़ल ने मई में मुझे बताया, “हमें इसके बारे में जितनी जल्दी हो सके कुछ करना होगा, क्योंकि लोग इसे ढूंढेंगे और इसे दोबारा बेचेंगे। इससे नुकसान होगा।”
एज़डौफ़ल सुरक्षा शोधकर्ता हैं जिन्होंने क्लाउड कोड का उपयोग करके यह पता लगाने में मदद की कि प्रत्येक डीजेआई रोमो रोबोट वैक्यूम क्लीनर और दस लाख बेबी मॉनीटर और सुरक्षा कैमरे को हैक करना शर्मनाक रूप से आसान था। इस बार, उनका कहना है कि उन्होंने सार्वजनिक इंटरनेट पर मौजूद 985,000 से अधिक फोटो आईडी की खोज की है, जिन्हें कोई भी आधा-सभ्य हैकर चुरा सकता है।
यदि आपने स्पेन में किसी कैनबिस क्लब का दौरा किया है, तो अज़दौफ़ल कहते हैं, संभावना है कि आपकी फोटो आईडी उनमें से एक थी – और संभवतः आपका फोन नंबर, पता, कैनबिस की आपकी पसंदीदा किस्में, और वहां रहते हुए आपने हर महीने कितना सेवन किया। अज़दौफ़ल का कहना है कि डेटाबेस में मशहूर हस्तियाँ भी हैं, और संयुक्त राज्य अमेरिका से 30,000 सहित दुनिया भर के आगंतुक भी हैं। अज़दौफ़ल कहते हैं, “उनके पास प्रसिद्ध लोग हैं।” “जो लोग नहीं चाहते कि हर किसी को पता चले वे गांजा पीते हैं।”
यहां उस उपयोगकर्ता आधार का एक मोटा सारांश दिया गया है जिसे एज़डौफ़ल का स्वचालित टूल देख सका, और कुछ क्लबों के नाम:
छवि: सैमी अज़दौफ़ल
यह वे क्लब नहीं हैं जिन्होंने इन पहचान दस्तावेजों की सुरक्षा नहीं की। कैनबिस क्लब सिस्टम्स (सीसीएस) नामक एक आयरिश कंपनी, औपचारिक रूप से नेफोस सॉल्यूशंस, सॉफ्टवेयर विकसित करती है और प्रदान करती है जिसका उपयोग ये क्लब बिक्री, लेखांकन और प्रवेश के लिए करते हैं, जिसमें एक सत्यापन प्रणाली भी शामिल है जहां रिसेप्शनिस्ट आपकी आईडी और सेल्फी को नेफोस के क्लाउड पर अपलोड करते हैं।
परंपरागत रूप से, जब भी आप किसी क्लब में जाना चाहते हैं तो आपको एक फोटो आईडी प्रदान करनी होगी। लेकिन सत्यापन प्रणाली के साथ, रिसेप्शनिस्ट आपके संग्रहीत पहचान दस्तावेजों को खींच सकता है और जांच सकता है कि आपका चेहरा मेल खाता है या नहीं। पफपाल नामक एक वैकल्पिक ऐप भी है जो क्लबों को तेजी से प्रवेश के लिए क्यूआर कोड स्कैन करने की सुविधा देता है।
लेकिन जब अज़दौफ़ल ने उस पफ़पाल ऐप को विघटित किया, वह अपनी रिपोर्ट में बताते हैंउन्होंने पाया कि नेफोस के पास सुरक्षा का कोई सार्थक स्तर नहीं था। उन्होंने ऐप के अंदर सादे टेक्स्ट में स्ट्राइप पेमेंट प्लेटफॉर्म के लिए एक गुप्त कुंजी की खोज की। उसने पाया कि वह केवल एक नंबर बदलकर किसी भी सदस्य की प्रोफ़ाइल खींच सकता है। यदि उन प्रोफ़ाइलों में उनका फ़ोन नंबर, घर का पता, पासपोर्ट और खरपतवार प्राथमिकताएँ शामिल थीं, तो अब उनके पास उन तक भी पहुँच थी।
और फिर, उन्हें पता चला कि वे पासपोर्ट, ड्राइवर लाइसेंस और फोटो आईडी सार्वजनिक यूआरएल पर इस तरह संग्रहीत थे: https://ccsnubev2.com/v8/images/_{club}/ID/{user_id}-front.jpg
अजदौफ़ल ने मुझे बताया कि वे क्लब हर दिन इन असुरक्षित यूआरएल के साथ 5,000 नई फोटो आईडी अपलोड कर रहे थे।
उन्होंने सार्वजनिक इंटरनेट के माध्यम से सुलभ एक व्यवस्थापक पोर्टल भी पाया – और कैनबिस क्लबों के पास अपने स्वयं के खातों पर सुरक्षा का एक तुच्छ स्तर था, पासवर्ड का उपयोग करके जिसे सैद्धांतिक रूप से आधुनिक जीपीयू के साथ मिनटों में क्रैक किया जा सकता था। पफ़पाल ऐप के माध्यम से क्लबों और सदस्यों के बीच निजी चैट संदेश भी असुरक्षित थे।
अच्छी खबर: नेफोस तक पहुंचने के लगभग एक महीने बाद, कंपनी अंततः सार्थक कार्रवाई करती दिख रही है। कंपनी का कहना है कि वह अपने पूरे पफ़पाल सिस्टम और कमजोर एपीआई को तब तक बंद कर रही है जब तक कि उन्हें ठीक नहीं किया जा सकता – 10 जून को एज़डौफ़ल के नवीनतम परीक्षणों में, पासपोर्ट छवियां और व्यक्तिगत डेटा सुरक्षित प्रतीत होते हैं। नेफोस ने स्थानीय अधिकारियों को भी सूचित कर दिया है और कहा है कि वह सुधार करने, जुर्माना भरने और उपयोगकर्ताओं को यह बताने की जिम्मेदारी लेगा कि क्या हुआ।
एक फोन साक्षात्कार में, नेफोस के सह-संस्थापक एंड्रियास निल्सन बताते हैं द वर्ज वह डेटा उल्लंघन के बारे में आयरलैंड के डेटा प्रोटेक्शन अथॉरिटी (डीपीसी) के संपर्क में हैं – एक तथ्य जिसकी पुष्टि डीपीसी के प्रवक्ता इवान ओ’लेरी ने ईमेल द्वारा हमें की। निल्सन ने मुझसे कहा, “हमें उन सभी लोगों से संवाद करना होगा जो संभावित रूप से उजागर हुए थे।” उन्होंने कहा कि उन्हें उम्मीद है कि डीपीसी उनकी कंपनी को दिखा सकती है कि इसे सही तरीके से कैसे किया जाए। निल्सन का दावा है कि फिलहाल इस बात का कोई सबूत नहीं है कि एज़डौफ़ल के अलावा किसी बाहरी व्यक्ति ने डेटा तक पहुंच बनाई है।
लेकिन नेफोस को खतरे को गंभीरता से लेने में बहुत समय लग गया। अज़दौफ़ल के संपर्क करने के काफी समय बाद, कंपनी को हमें जवाब देने में पांच दिन लग गए और कहानी की धमकी भी दी गई। फिर, नेफोस ने व्यवसाय को जोखिम में डालने के बजाय छिद्रों पर कागज़ जमा करना शुरू कर दिया।
मैं जून की शुरुआत में यह कहानी लिखने के लिए तैयार था, जब अज़दौफ़ल ने मुझे बताया कि नेफोस ने आखिरकार पासपोर्ट छवियों को बंद कर दिया है। लेकिन 4 जून को, मैंने अज़दौफ़ल को यह दिखाकर आश्चर्यचकित कर दिया कि उसका अपना पासपोर्ट एक बार फिर बिना किसी सुरक्षा के ऑनलाइन हो गया था।
ऐसा इसलिए है क्योंकि नेफोस ने अभी तक कैनबिस क्लबों को पफपाल ऐप का उपयोग करने से नहीं रोका था, और क्लब शिकायत कर रहे थे कि लॉक-डाउन छवियां उस तरह से दिखाई नहीं दे रही थीं जैसे वे पहले दिखाई देते थे – इसलिए नेफोस ने छवियों को फिर से अनलॉक कर दिया। जबकि निल्सन का दावा है कि एज़डौफ़ल और मेरे संपर्क के बाद से तस्वीरें “70 प्रतिशत समय” बंद थीं, यह बहुत स्पष्ट है कि नेफोस ने खतरे के बजाय अपने ग्राहकों को प्राथमिकता देने का निर्णय लिया है।
9 जून को, अज़दौफ़ल ने पाया कि भले ही नेफोस ने पासपोर्ट छवियों और फोटो आईडी को टोकन के साथ बंद कर दिया था, सबकुछ दूसरा उपयोगकर्ता प्रोफाइल में अभी भी आसानी से पहुंच थी: पासपोर्ट नंबर, फोन नंबर, ईमेल पते, घर के पते, सब कुछ।
हैकर को बस इतना करना था कि टाइप करें “curl -X POST https://ccsnubev2.com/v8/api/userProfile.php -d” user_id=[NUMBER]&[CLUB NAME]=test&भाषा=en” एक कमांड लाइन में, और सर्वर स्वतंत्र रूप से व्यक्तिगत जानकारी का एक समूह छोड़ देंगे। हमारे द्वारा नेफोस के ध्यान में लाने के बाद, वह छेद भी बंद कर दिया गया है।
लेकिन कंपनी इतनी लापरवाह कैसे हो सकती है? निल्सन कहते हैं, ”मैं इसका दोष दूसरों पर नहीं मढ़ना चाहता क्योंकि दिन के अंत में यह हमारे साथ रहता है।” लेकिन वह उंगली तो उठाता है 9सीरीज़ परउनका दावा है कि एक आउटसोर्सिंग फर्म पफपाल ऐप को विकसित करने और नेफोस के उपयोगकर्ता डेटाबेस से असुरक्षित डेटा खींचने के लिए उपयोग की जाने वाली सभी कमजोर एपीआई बनाने के लिए जिम्मेदार थी। (प्रकाशन समय तक 9सीरीज़ की कोई प्रतिक्रिया नहीं थी।)
अब जब पफपाल बंद हो गया है, तो नेफोस हर क्लब को यह बताने के लिए ईमेल कर रहा है कि उनके सदस्य प्रवेश के लिए उन क्यूआर कोड का उपयोग नहीं कर पाएंगे – लेकिन वे किसी सदस्य के आरएफआईडी कार्ड को स्कैन करने या अन्य उदाहरणों के साथ अपना फोन नंबर टाइप करने के बाद भी नेफोस के सर्वर से आईडी निकाल सकते हैं।
निल्सन का दावा है कि अगर क्लब कहेंगे तो उनकी कंपनी असुरक्षित पफ़पाल को फिर से लॉन्च नहीं करेगी। “हम उन्हें बताने जा रहे हैं कि हम नहीं कर सकते,” वह कहते हैं। “इस पराजय के बाद, हम यह सुनिश्चित करेंगे कि इसे एक स्वतंत्र सुरक्षा शोधकर्ता द्वारा सत्यापित किया जाए और गारंटी दी जाए कि यह 100 प्रतिशत सुरक्षित है।” उनका कहना है कि नेफोस 9सीरीज़ से अलग हो रहा है, और उम्मीद है कि कुछ महीनों के भीतर एक नया ऐप आ जाएगा।
निल्सन का कहना है कि उन्हें इसकी जानकारी है यूरोपीय संघ के कानून के तहतउनकी कंपनी को कानूनी तौर पर 72 घंटों के भीतर उल्लंघन का खुलासा करना था या महत्वपूर्ण जुर्माना भरना था, कंपनी ने ऐसा नहीं किया. निल्सन कहते हैं, “मुझे यकीन है कि हमें किसी भी प्रकार का दंड मिलेगा।”
अभी पिछले महीने ही यूके वीज़ा पोर्टल नाम की एक वेबसाइट सामने आई थी इसी तरह कम से कम 100,000 पासपोर्ट उजागर हुए किसी भी व्यक्ति के लिए जो URL का अनुमान लगा सकता है। आशा करते हैं कि यह एक चेतावनी है।
