दुनिया भर में डेटा लीक से 16 अरब पासवर्ड खतरे में! ऐतिहासिक डेटा लीक क्या "पासवर्ड युग के अंत की घोषणा" है?

1. इतिहास का सबसे बड़ा "क्रेडेंशियल सुनामी" — क्या हुआ

20 जून की सुबह, भारत के NDTV Profit ने "Massive Data Breach: 16 Billion Passwords Leaked" शीर्षक से एक लेख प्रकाशित किया। इसमें बताया गया कि "अभूतपूर्व 16 अरब प्रमाणिक जानकारी डार्क फोरम में पाई गई" और यह खबर तुरंत विश्व के सुर्खियों में छा गई।ndtvprofit.com

उसी लेख के अनुसार, लीक हुए 30 डेटा सेट्स में से प्रत्येक में दसियों लाख से लेकर 3.5 अरब तक की पंक्तियाँ शामिल थीं, जिनमें Apple ID, Google अकाउंट, Facebook लॉगिन के अलावा डेवलपर्स के लिए GitHub और सरकारी सेवाओं के सेशन टोकन भी शामिल थे।

2. "Mother of All Breaches" की वापसी?

यह संख्या 2024 के जनवरी में चर्चा में आए "MoAB (Mother of All Breaches: कुल 26 अरब)" की तुलना में भी अधिक प्रभावशाली है। लेकिन जहां MoAB **पिछले 10 वर्षों के ज्ञात लीक का एक "कब्रिस्तान"** था, वहीं इस सेट में "नवीनतम इंफोस्टीलर संक्रमित डिवाइसों से प्राप्त 'जीवित' कुकीज़ और टोकन की बड़ी संख्या" शामिल है, जो इसे अलग बनाता है, जैसा कि शोधकर्ताओं ने बताया।news.com.au

3. कहां से लीक हुआ? — इंफोस्टीलर अर्थव्यवस्था का अंधेरा पक्ष

Forbes ने समझाया कि "प्रभावित कंपनियों को हैक नहीं किया गया था, बल्कि व्यक्तिगत पीसी या स्मार्टफोन मैलवेयर से संक्रमित हो गए थे, और ब्राउज़र में सहेजे गए क्रेडेंशियल्स को निकाला गया था।"forbes.com

वास्तव में, Raccoon, Vidar, Lumma जैसी MaaS (Malware-as-a-Service) सेवाएं, जो मासिक कुछ दर्जन डॉलर में उपलब्ध हैं, इस अपराध का आधार बन गई हैं। एन्क्रिप्टेड ZIP में बेचे जाने वाले "लॉग्स" में केवल पासवर्ड ही नहीं बल्कि ऑटो लॉगिन के लिए उपयोग किए जाने वाले सेशन टोकन और ऑटोफिल के लिए पते और क्रेडिट कार्ड भी शामिल होते हैं, जिससे अपराधी 2FA बाईपास या फिशिंग के बिना त्वरित अधिग्रहण कर सकते हैं।

4. विशेषज्ञों की राय और ठंडी प्रतिक्रिया

ब्रिटेन के सुरक्षा शोधकर्ता Troy Hunt (Have I Been Pwned के व्यवस्थापक) ने X पर पोस्ट किया कि " '16 Billion' शीर्षक आकर्षक है, लेकिन नया लीक कुल का केवल एक चौथाई है। केवल संख्या पर विश्वास करके घबराने की जरूरत नहीं है," उन्होंने ठंडे दिमाग से विश्लेषण किया।twitter.com
Reddit के r/cybersecurity पर "यह केवल पुराने डेटा का पुनः पैकेजिंग है" और "मीडिया का क्लिक बटोरने का सामान्य तरीका" जैसी संदेहास्पद थ्रेड्स तेजी से बढ़ी।reddit.com

वहीं, Tom’s Guide के लाइव अपडेट में कहा गया है कि "हालांकि यह नया और पुराना डेटा मिला हुआ है, 2025 के 2Q के बाद के ताजे कंपनी VPN क्रेडेंशियल्स के 25 मिलियन से अधिक शामिल हैं" और इस पर चेतावनी दी गई है।tomsguide.com

5. SNS में दिखने वाले "2 तापमान अंतर"

• आबी क्योकान派: "16 बिलियन रिकॉर्ड्स!? मुझे तुरंत सभी पासवर्ड बदलने होंगे💀" — आम यूजर्स की पोस्ट X पर ट्रेंड कर रही है।twitter.com

• श्वेतके मूड派: "फिर से 'सबसे बड़ा' है। MoAB का दूसरा संस्करण होगा" — Reddit /r/pcmasterrace पर व्यंग्यात्मक टिप्पणियों को 3000 से अधिक अपवोट मिले।reddit.com

• व्यावहारिक派: Tether के CEO Paolo Ardoino ने घोषणा की, "पासवर्ड की अवधारणा की सीमा है। हम बायोमेट्रिक्स + क्रिप्टो कीज को जोड़ने वाले 'PearPass' की ओर बढ़ रहे हैं", जिससे Web3 उद्योग का ध्यान आकर्षित हुआ।twitter.com

इन प्रतिक्रियाओं से पता चलता है कि अंतिम उपयोगकर्ता "स्वयं की चिंता" के रूप में संकट को पहचानने वाले और सूचना की अधिकता से चेतावनियों के प्रति अभ्यस्त हो चुके लोगों के बीच ध्रुवीकरण हो रहा है।

6. संभावित हानि परिदृश्य—क्या हो सकता है

1. बड़े पैमाने पर क्रेडेंशियल स्टफिंग
   स्वचालित उपकरणों के साथ Netflix, Steam, Apple ID पर एक साथ लॉगिन। 1% की सफलता दर के साथ भी 160 मिलियन रिकॉर्ड्स को पार करना संभव।

2. सरकारी ईमेल के दुरुपयोग से APT प्रवेश
   लीक सूची में .gov और .mil डोमेन भी शामिल हैं, जो लक्षित हमलों के लिए एक मंच बन सकते हैं।the-sun.com

3. क्रिप्टो एसेट वॉलेट की "खाली फायरिंग"
   सीड के बजाय सेशन कुकी को चुराकर, दो-चरणीय प्रमाणीकरण को दरकिनार करते हुए त्वरित हस्तांतरण तकनीकी रूप से संभव है।

4. AI जनरेटेड फिशिंग की सटीकता में सुधार
   लीक ईमेल को प्रशिक्षण डेटा के रूप में उपयोग करके, "Vishing AI" जो व्यक्ति की तरह दिखने वाले संदेशों के साथ धोखा देती है, परीक्षण चरण में है।

7. कंपनियों की प्रतिक्रिया

• Google ने उसी दिन अपने आधिकारिक ब्लॉग पर घोषणा की कि "2025 के अंत तक सभी खातों के लिए पासकी उपयोग को डिफ़ॉल्ट रूप से चालू किया जाएगा"।

• Apple के बारे में बताया गया कि वह iOS 19 बीटा में "ऑटोमैटिक पासकी माइग्रेशन असिस्टेंट" का परीक्षण कर रहा है।

• Meta अपने बिजनेस सूट में पासवर्ड रहित "Meta Verified" साइन-इन को लागू करने की योजना बना रहा है।
  (※ प्रत्येक कंपनी की घोषणाएं NDTV, Forbes, Tom’s Guide के साक्षात्कारों का समग्र)ndtvprofit.com

8. सामान्य उपयोगकर्ताओं के लिए 6 कदम

1. सभी प्रमुख सेवाओं के पासवर्ड को अद्वितीय बनाएं

2. पासवर्ड मैनेजर (1Password / Bitwarden आदि) का उपयोग करें

3. MFA को SMS से TOTP (Google Authenticator आदि) में बदलें

4. HaveIBeenPwned पर नियमित रूप से ईमेल लीक की जाँच करें (मुफ्त)।reddit.com

5. अनावश्यक खातों को हटाएं और पुराने OAuth टोकन को रद्द करें

6. "Cannot autologin" सेटिंग के साथ महत्वपूर्ण साइटों के कुकी ऑटो सेव को निष्क्रिय करें

9. कानून और पासवर्डलेस का भविष्य

EU में NIS2 निर्देश 2025 के अक्टूबर में लागू होने की योजना है, "यदि संवेदनशील प्रमाण पत्र को स्पष्ट रूप में संग्रहीत किया गया तो वार्षिक राजस्व का अधिकतम 7% जुर्माना" का प्रावधान शामिल किया गया है। अमेरिका भी "National Cybersecurity Strategy" के तहत संघीय एजेंसियों के लिए पासकी अनिवार्य कर रहा है। ये नियमपासवर्ड→पासकी संक्रमण को बढ़ावा देने की संभावना है।

10. अंत में

इस बार के 16 अरब लीक को केवल संख्या के आधार पर "इतिहास का सबसे बड़ा" कहा जा सकता है। लेकिन वास्तविकता यह है कि यह **पुराने और नए डेटा का "संग्रह" है, और खतरे का मूल "पासवर्ड की सीमाएं" और "उपयोगकर्ता की आत्मसंतुष्टि" में है। तकनीकी समाधान धीरे-धीरे पासकी की ओर केंद्रित हो रहे हैं, लेकिन अग्रिम मोर्चा अभी भी "मानव व्यवहार परिवर्तन" ही है। हम में से प्रत्येक को "एक और फायरवॉल"** बनने की क्षमता का परीक्षण किया जा रहा है।