सोशल मीडिया क्षेत्रातील अग्रगण्य कंपनी असणाऱ्या ‘इन्स्टाग्राम’च्या दीड कोटींहून अधिक वापरकर्त्यांच्या माहिती सुरक्षेचा प्रश्न पुन्हा एकदा ऐरणीवर आला असून सायबर विश्वात यामुळे चिंतेचे वातावरण निर्माण झाले आहे. वापरकर्त्यांचा वैयक्तिक डेटा धोक्यात असल्याचा दावा केला जात आहे. यामध्ये वापरकर्त्यांची नावे, भ्रमणध्वनी क्रमांक, घराचे पत्ते आणि ई-मेल आयडी यांचा समावेश आहे.
आजच्या काळात इन्स्टाग्राम हे सोशल मीडिया वापरकर्त्यांच्या सर्वाधिक पसंतीचे ठरलेले माध्यम म्हणून पुढे आले आहे. विशेषतः ‘टिकटॉक’वर बंदी घातल्यानंतर इन्स्टाने रिल्स नामक संकल्पना अचूक वेळी पुढे आणली आणि तिथून पुढे ‘इन्स्टाग्राम’चा अक्षरशः झंझावात सुरू झाला. वैयक्तिक माहिती शेअर करण्यापासून ते विविध व्लॉगपर्यंत सर्वदूर इन्स्टाग्राम वापरले जाऊ लागले; पण अलीकडे इन्स्टाग्राम वापरकर्त्यांच्या इनबॉक्समध्ये अचानक पासवर्ड रिसेट ई-मेल्सचा पूर येऊ लागल्याचे दिसून आले. कोणतीही मागणी न करता आलेले हे ई-मेल्स अनेकांना गोंधळात टाकणारे ठरले. खोलात जाऊन माहिती घेतल्यानंतर याच्या मुळाशी सायबर सुरक्षेच्या दृष्टीने एक महत्त्वाची आणि चिंताजनक घडामोड असल्याचे समोर आले. त्याच वेळी डार्क वेबवरील एका मंचावर सुमारे 17.5 दशलक्ष इन्स्टाग्राम खात्यांची माहिती उपलब्ध झाल्याच्या बातम्यांनी वापरकर्त्यांच्या अस्वस्थतेत भर घातली.
सद्यस्थितीत दोन अब्जहून अधिक मासिक सक्रिय वापरकर्ते असलेले इन्स्टाग्राम हे सायबर गुन्हेगारांचे प्रमुख लक्ष्य असणे स्वाभाविक आहे. वापरकर्त्यांचे खाते ताब्यात घेण्यासाठी ब्राऊझर एक्स्टेन्शनपासून ते फिशिंग मोहिमांपर्यंत अनेक क्लृप्त्या वापरल्या जातात; मात्र अलीकडे दिसून आलेली पद्धत तुलनेने अधिक सोपी आणि मानसशास्त्रीय दबाव निर्माण करणारी आहे. थेट इन्स्टाग्रामकडून आलेला खरा पासवर्ड रिसेट करण्याबाबतचा ई-मेल वापरकर्त्याला गोंधळात टाकणारा ठरला. असा ई-मेल मिळाल्यावर साहजिकच ‘माझे खाते धोक्यात आहे’ अशी भावना निर्माण होते आणि घाईघाईने निर्णय घेण्याची शक्यता वाढते. हाच क्षण हल्लेखोरांसाठी महत्त्वाचा ठरतो.
‘डेटा लीक’चा इतिहास
‘याहू’ची डेटा गळती ही सायबर इतिहासातील सर्वात मोठ्या डेटा गळतींपैकी एक घटना मानली जाते. 2013 आणि 2014 मध्ये दोन वेगवेगळ्या सायबर हल्ल्यांमध्ये ‘याहू’च्या सुमारे 3 अब्ज वापरकर्त्यांची खाती बाधित झाली. वापरकर्त्यांची नावे, ई-मेल पत्ते, फोन क्रमांक, जन्मतारीख आणि एन्क्रिप्टेड पासवर्ड बाहेर गेले. ही बाब 2016 मध्ये उघडकीस आली होती आणि या गळतीमुळे ‘याहू’च्या व्हेरिझॉनसोबतच्या विक्री कराराच्या किमतीत कपात झाली. त्यापूर्वी 2013 मध्ये ॲडोबीच्या सॉफ्टवेअर प्रणालीत झालेल्या हल्ल्यात 15 कोटी वापरकर्त्यांची माहिती चोरीला गेली. यात ई-मेल पत्ते, एन्क्रिप्टेड पासवर्डस आणि क्रेडिट कार्ड माहितीचा समावेश होता. विशेष बाब म्हणजे, अनेक पासवर्डस् कमकुवत पद्धतीने एन्क्रिप्ट केलेले असल्यामुळे ते सहज उलडगले गेले.
‘इक्विफॅक्स’ या अमेरिकेतील क्रेडिट रेटिंग कंपनीमध्ये झालेल्या डेटा लीक प्रकरणात 14.7 कोटी नागरिकांची अत्यंत संवेदनशील माहिती बाहेर पडली. सामाजिक सुरक्षा क्रमांक, जन्मतारीख, पत्ते आणि ड्रायव्हिंग लायसन्स तपशील ठकसेनांच्या हाती लागल्याने ही घटना आर्थिक आणि कायदेशीर दृष्ट्या अत्यंत गंभीर ठरली. परिणामी, कंपनीला अब्जावधी डॉलर्सची नुकसानभरपाई आणि दंड भरावा लागला.2018 मध्ये घडलेले फेसबुककॅम्ब्रिज ॲनालिटिका प्रकरण अद्यापही चर्चिले जाते. कारण, यामध्ये तब्बल 8.7 कोटी फेसबुक वापरकर्त्यांचा डेटा परवानगीशिवाय राजकीय उद्देशांसाठी वापरण्यात आला. एका तृतीय पक्ष ॲपद्वारे डेटा गोळा करून तो कॅम्ब्रिज ॲनालिटिका या राजकीय सल्लागार संस्थेला देण्यात आला. या प्रकरणामुळे फेसबुकवर जागतिक स्तरावर विश्वासाचा मोठा तडा गेला आणि डेटा गोपनियतेवर गंभीर चर्चा सुरू झाली.
2018 मध्ये मॅरियट समूहाच्या स्टारवूड हॉटेल सिस्टीममध्ये दीर्घकाळ सुरू असलेल्या घुसखोरीमुळे 50 कोटी ग्राहकांची माहिती गळतीला लागली होती. यात पासपोर्ट क्रमांक, प्रवास तपशील, संपर्क माहिती आणि काही प्रकरणांत क्रेडिट कार्ड डेटा समाविष्ट होता. ही घुसखोरी अनेक वर्षे लक्षात न येणे, ही बाब अधिक धक्कादायक ठरली. 2022 मध्ये ट्विटरच्या एपीआयमधील त्रुटीचा वापर करून हॅकर्सनी 5.4 कोटी खात्यांचे ई-मेल आणि फोन नंबर गोळा केले होते. ही माहिती नंतर डार्क वेबवर विक्रीसाठी ठेवण्यात आली. ही घटना थेट हॅकिंग न करता प्रणालीतील कमकुवत दुव्याचा वापर कसा केला जातो, याचे उदाहरण मानली जाते. 2023 मध्ये ‘मूव्हइट’ या फाईल ट्रान्स्फर सॉफ्टवेअरमधील त्रुटींचा फायदा घेऊन क्लॉप रॅन्समवेअर गटाने शेकडो संस्थांचा डेटा चोरला. सरकारी विभाग, बँका, आरोग्य संस्था आणि विद्यापीठे यांचा यात समावेश होता.
‘इन्स्टाग्राम’बाबत नेमके काय घडले?
जानेवारीच्या पहिल्या आठवड्यात अनेक वापरकर्त्यांना एका पाठोपाठ एक पासवर्ड रिसेट ई-मेल्स मिळाले. हे ई-मेल्स बनावट नव्हते, तर इन्स्टाग्रामच्या अधिकृत प्रणालीतूनच पाठवले गेले होते. त्यामुळे पारंपरिक फिशिंगप्रमाणे लिंक खोटी आहे का, ई-मेल ॲड्रेस संशयास्पद आहे का, अशी शंका निर्माण होण्यास वावच नव्हता. ई-मेलमधील मजकूर मात्र स्पष्टपणे सांगतो की, तुम्ही ही रिक्वेस्ट केली नसेल, तर पासवर्ड बदलला जाणार नाही. साहजिकच, हे वाचल्यानंतर घाबरलेला वापरकर्ता अनेकदा विचार न करता ‘रिसेट’ पर्यायावर क्लिक करतो. याच मानसिकतेवर हल्लेखोर अवलंबून असतात. या पार्श्वभूमीवर डार्क वेबवरील ‘ब्रिचफोरम्स’ या मंचावर 17.5 दशलक्ष खात्यांचा डेटाबेस उपलब्ध झाल्याची माहिती समोर आली. या डेटामध्ये वापरकर्त्यांची नावे, ई-मेल पत्ते, फोन क्रमांक आणि यूजर आयडी समाविष्ट असल्याचे सांगितले गेले. या घटनेचा आणि पासवर्ड रिसेट ई-मेल्सच्या लाटेचा थेट संबंध आहे का, हा प्रश्न उपस्थित झाला. मेटाने मात्र आपल्या प्रणालीत कोणतीही घुसखोरी झालेली नाही, असे स्पष्ट केले.
कंपनीच्या अधिकृत निवेदनानुसार, एका त्रुटीमुळे बाहेरील व्यक्तींना पासवर्ड रिसेट ई-मेल्स ट्रिगर करता येत होते. ही त्रुटी दुरुस्त करण्यात आली असून वापरकर्त्यांची खाती सुरक्षित आहेत, असे सांगितले गेले; परंतु हे स्पष्टीकरण अनेकांना अपुरे वाटले. कारण, प्रणालीत घुसखोरी झालेली नाही आणि वापरकर्त्यांची माहिती बाहेर नाही या दोन गोष्टी वेगळ्या आहेत. तसेच हा डेटाबेस नवीन नसून 2022 मध्ये एपीआयमधील त्रुटींतून गोळा झालेल्या जुन्या माहितीतून तयार झालेला आहे. ही माहिती 2024 मध्ये सायबर गुन्हेगारी गटांमध्ये फिरत होती; मात्र आता ती सार्वजनिकरीत्या उपलब्ध झाल्यामुळे तिचा गैरवापर मोठ्या प्रमाणावर होऊ शकतो. जुनी माहिती असली, तरी तिचा वापर करून मोठ्या प्रमाणावर पासवर्ड रिसेट रिक्वेस्टस् पाठवणे शक्य झाले, हे या घटनेतून स्पष्ट होते.
सायबर सुरक्षातज्ज्ञांच्या मते, हा हल्ला प्रत्यक्ष खाते फोडण्यापेक्षा वापरकर्त्यांच्या विश्वासावर आघात करणारा आहे. सतत ई-मेल्स येऊ लागल्यावर लोक घाबरतात आणि सावधगिरीची भावनाही कमी होते. यालाच ‘रिसेट फटिग’ असे म्हटले जाते. खऱ्या आणि बनावट इशाऱ्यांमधील फरक ओळखण्याची क्षमता कमी होते. अशावेळी एखादी चुकीची कृती झाली, तर हल्लेखोरांना संधी मिळू शकते.
इन्स्टाग्रामची प्रमाणीकरण व्यवस्था (ऑथेंटिकेशन सिस्टीम) इतर मेटा प्लॅटफॉर्म्सशी जोडलेली असल्याने धोका अधिक वाढतो. एकाच खात्याद्वारे फेसबुक, इन्स्टाग्राम आणि थ्रेडस्मध्ये प्रवेश मिळतो. त्यामुळे एका ठिकाणी कमकुवत दुवा आढळला, तर तिचा परिणाम अनेक सेवांवर होऊ शकतो. ही गुंतागुंतच हल्लेखोरांसाठी संधी निर्माण करते.
या सगळ्या गोंधळात वापरकर्त्यांनी नेमके काय करावे, हा सर्वात महत्त्वाचा प्रश्न आहे. सर्वप्रथम कोणताही अनपेक्षित पासवर्ड रिसेट ई-मेल मिळाल्यास घाई करू नये. ई-मेलमधील लिंकवर क्लिक करण्याऐवजी थेट ॲप किंवा अधिकृत वेबसाईटवर जाऊन खाते सुरक्षित आहे का, हे तपासणे अधिक शहाणपणाचे ठरते. दुसरे म्हणजे प्रत्येक प्लॅटफॉर्मसाठी वेगळा आणि मजबूत पासवर्ड वापरणे आवश्यक आहे. यामुळे एका ठिकाणची माहिती लीक झाली, तरी इतर खाती सुरक्षित राहतात. तिसरे आणि सर्वात महत्त्वाचे म्हणजे टू स्टेप ऑथेंटिकेशन सुरू ठेवणे. ओळख न झालेल्या उपकरणावरून लॉगिनचा प्रयत्न झाला, तर अतिरिक्त कोडची गरज भासते आणि यामुळे हल्लेखोरांचा मार्ग अडतो.
इन्स्टाग्रामने काही प्रकारच्या खात्यांसाठी हे प्रमाणीकरण आपोआप सुरू केले आहे; मात्र अनेक सामान्य वापरकर्ते ते बंद करतात किंवा दुर्लक्ष करतात. सध्याच्या परिस्थितीत ही चूक महागात पडू शकते. खाते आधीच ताब्यात गेले असल्यास इन्स्टाग्रामकडून दिलेल्या अधिकृत प्रक्रियेद्वारे ते परत मिळवण्याचा प्रयत्न करावा.
ही घटना केवळ इन्स्टाग्रामपुरती मर्यादित नाही. ती आजच्या डिजिटल युगातील एक व्यापक वास्तव दाखवणारी आहे. सायबर गुन्हेगार थेट प्रणाली फोडण्याऐवजी कायदेशीर आणि वैध प्रक्रियांचा गैरवापर करून गोंधळ निर्माण करत आहेत. त्यामुळे कंपन्यांना केवळ अंतर्गत सुरक्षा नव्हे, तर वापरकर्त्यांचा अनुभव आणि त्यांच्यापर्यंत पोहोचणारे संकेत यांचाही गंभीरपणे विचार करावा लागणार आहे. डिजिटल सुरक्षितता ही एकदाच करून संपणारी गोष्ट नाही, तर सतत जागरूक राहण्याची प्रक्रिया आहे. घाई, भीती आणि गोंधळ यावर नियंत्रण ठेवले, तर अशा हल्ल्यांचा प्रभाव मोठ्या प्रमाणावर कमी करता येऊ शकतो.
मेटाचा डेटा सिक्युरिटीचा इतिहास पाहता संशय कायम राहणे स्वाभाविक आहे. सप्टेंबर 2024 मध्ये सुमारे 60 कोटी फेसबुक आणि इंस्टाग्राम पासवर्डस् साध्या मजकुरात साठवले गेल्याचा प्रकार उघडकीस आला होता. ही पद्धत 2012 पासून सुरू असल्याचे समोर आल्यानंतर मेटाला तब्बल 101 दशलक्ष डॉलर्सचा दंड भरावा लागला होता. या पार्श्वभूमीमुळे ‘यावेळी खरोखरच काहीच घडले नाही का’ असा प्रश्न अनेकांच्या मनात आहे.
हे प्रकरण केवळ तांत्रिक नसून मानसशास्त्रीयही आहे. पासवर्ड रिसेटसारख्या सूचनांचा मारा झाला की, वापरकर्ते गोंधळतात. परिणामी, एखादी खरी सूचना आली, तरी तिच्याकडे दुर्लक्ष होण्याची शक्यता वाढते. अशी स्थिती सायबर गुन्हेगारांसाठी अनुकूल ठरू शकते. म्हणूनच थेट हॅकिंगपेक्षा वापरकर्त्यांच्या वर्तनावर परिणाम करणाऱ्या पद्धती अधिक वापरल्या जात असल्याचे दिसते.
