उपयोगकर्ता गोपनीयता और कंपनी विज्ञापन बिक्री के बीच विरोधी संबंध लगातार सुर्खियों में बना हुआ है क्योंकि फेसबुक और अन्य कंपनियों को उनके व्यक्तिगत डेटा के उपयोग के लिए जिम्मेदार ठहराया जाता है।
लेकिन यह हाल का चलन नहीं है, क्योंकि कंपनियों ने विकास और राजस्व के लिए वर्षों से व्यक्तिगत डेटा से बार-बार समझौता किया है। यहां कुछ उल्लेखनीय अवसर दिए गए हैं जब डेटा संग्रहण आपकी व्यक्तिगत जानकारी को जोखिम में डाल देता है।
1. LocalBlox ने 48 मिलियन सामाजिक खातों का खुलासा किया
लोकलब्लॉक्स एक सोशल मीडिया डेटा एग्रीगेटर है जिसने हाल ही में सभी गलत कारणों से सुर्खियां बटोरी हैं। यह साइबर सुरक्षा फर्म अपगार्ड द्वारा खोजे जाने के बाद है कि लोकलब्लॉक्स ने 48 मिलियन खातों के डेटा को उजागर कर दिया है।
"अपगार्ड साइबर रिस्क टीम अब इस बात की पुष्टि कर सकती है कि एक व्यक्तिगत और व्यावसायिक डेटा खोज सेवा, लोकलब्लॉक्स से संबंधित जानकारी वाली एक क्लाउड स्टोरेज रिपॉजिटरी को सार्वजनिक रूप से सुलभ छोड़ दिया गया था, जिससे लाखों व्यक्तियों पर विस्तृत व्यक्तिगत जानकारी के 48 मिलियन रिकॉर्ड उजागर हुए, एकत्र हुए और कई स्रोतों से स्क्रैप किया गया," UpGuard ने एक रिपोर्ट में कहा।
लेकिन लीक हुए डेटा में केवल सोशल मीडिया डिटेल्स ही शामिल नहीं थे। इसमें बहुत अधिक व्यक्तिगत जानकारी शामिल थी। उजागर किए गए डेटा में वास्तविक नाम, भौतिक पते, जन्मदिन और बहुत कुछ शामिल थे। इसके अलावा, उपयोगकर्ता डेटा में लिंक्डइन, फेसबुक और ट्विटर जैसे विभिन्न नेटवर्कों के विवरण भी शामिल थे।
जैसा कि UpGuard बताता है, अपराधी इस डेटा का उपयोग सामाजिक रूप से निर्मित फ़िशिंग प्रयासों और हमलों, सामाजिक हेरफेर और पहचान की चोरी से लेकर कई घोटालों के लिए करते हैं।
2. 198 मिलियन अमेरिकी मतदाताओं का डेटा उजागर
2017 में, रिपब्लिकन नेशनल कमेटी (आरएनसी) द्वारा नियुक्त एक डेटा फर्म ने अमेरिका के लगभग सभी 200 मिलियन पंजीकृत मतदाताओं के डेटा से समझौता किया।
कंपनी, डीप रूट एनालिटिक्स, ने अमेरिकी मतदाताओं को उनकी व्यक्तिगत जानकारी के आधार पर प्रोफाइल प्रदान की। इस डेटा को इकट्ठा करने के लिए, इसने दो अन्य फर्मों के साथ काम किया:टारगेटपॉइंट कंसल्टिंग और डेटाट्रस्ट।
इसके परिणामस्वरूप सूचनाओं का एक विस्तृत संग्रह हुआ। लीक हुई जानकारी में नाम, पता और फोन नंबर शामिल थे। डेटा में ऐसे मॉडल भी थे जो किसी व्यक्ति की जातीयता और धर्म की भविष्यवाणी करते थे।
लीक के परिणामस्वरूप डीप रूट एनालिटिक्स के खिलाफ क्लास एक्शन मुकदमा हुआ। आखिरकार, फर्म ने अपने असुरक्षित क्लाउड सर्वर के 1.1 टेराबाइट से अधिक डेटा को उजागर कर दिया।
3. स्पैमर 1.4 बिलियन उपयोगकर्ताओं का डेटा लीक करता है
जबकि डेटा एकत्रीकरण कंपनियां कानूनी हैं, सभी डेटा हार्वेस्टर कानून के दायरे में काम नहीं करते हैं। यह मामला सिटी रिवर मीडिया (सीआरएम) का था, जो एक बहुत बड़ा अवैध स्पैमिंग ऑपरेशन था, जिसने गलती से एक अरब से अधिक उपयोगकर्ताओं का डेटा लीक कर दिया था।
लीक ने वास्तविक नाम, उपयोगकर्ता आईपी पते और कभी-कभी भौतिक पते के साथ संयुक्त 1.4 बिलियन ईमेल खातों से समझौता किया।
ये कैसे हुआ? मैककीपर सिक्योरिटी रिसर्च सेंटर, सीएसओऑनलाइन और स्पैमहॉस के जांचकर्ताओं के मुताबिक; अनुचित रूप से कॉन्फ़िगर किए गए रुपये के बैकअप ने डेटा को असुरक्षित बना दिया है।
इसका एकमात्र लाभ यह है कि सीआरएम, जो एक वैध मार्केटिंग कंपनी के रूप में प्रस्तुत कर रहा था, एक स्पैमिंग ऑपरेशन के रूप में सामने आया, जो हर दिन एक अरब से अधिक स्वचालित ईमेल भेजता था। मैककीपर के क्रिस विकरी सीआरएम के हिपचैट लॉग, डोमेन पंजीकरण रिकॉर्ड, लेखा विवरण, बुनियादी ढांचे की योजना, उत्पादन नोट्स, स्क्रिप्ट और व्यावसायिक संबद्धता तक पहुंचने में सक्षम थे। इसके बाद उन्होंने इन विवरणों को अधिकारियों को सौंप दिया।
हालाँकि इस तरह की नई कंपनियाँ हर दिन सामने आती हैं, इसलिए आपको अपने ईमेल पते को स्पैमर से बचाने के लिए सावधानी बरतनी चाहिए।
4. ग्राइंडर अपने उपयोगकर्ताओं की एचआईवी स्थिति साझा करता है
सभी लीक हुए व्यक्तिगत डेटा सुरक्षा दोष या गलत कॉन्फ़िगरेशन का परिणाम नहीं होते हैं। जैसा कि हमने फेसबुक और कैम्ब्रिज एनालिटिका के साथ देखा, कभी-कभी सेवाएं और ऐप सामाजिक उपयोगकर्ताओं से डेटा एकत्र करते हैं और फिर उन्हें किसी तीसरे पक्ष को देते हैं।
अलेक्जेंडर कोगन द्वारा कैम्ब्रिज एनालिटिका को डेटा सौंपने से फेसबुक की सेवाओं की शर्तों का उल्लंघन हुआ। लेकिन एकत्र किए गए डेटा की भारी मात्रा को उस समय Facebook की नीतियों और API के दायरे में इकट्ठा किया गया था।
इसी तरह, जब उपयोगकर्ताओं को पता चला कि तीसरे पक्ष के पास ग्रिंडर उपयोगकर्ताओं की एचआईवी स्थिति तक पहुंच है, तो उन्हें यह भी पता चला कि एलजीबीटी डेटिंग नेटवर्क के लिए यह हमेशा की तरह व्यवसाय था। डेटा में उपयोगकर्ता का GPS स्थान, फ़ोन आईडी और ईमेल पता भी शामिल था।
यूजर्स ने इसे अपनी निजता का घोर उल्लंघन माना। कंपनी ने दो अन्य कंपनियों के साथ विशेष रूप से संवेदनशील और आमतौर पर गोपनीय चिकित्सा जानकारी साझा की:Apptimize और Localytics।
ग्रिंडर ने उपयोगकर्ताओं को आश्वासन दिया कि उन्होंने डेटा को बेचा या लीक नहीं किया है। बल्कि उन्होंने ऐप ऑप्टिमाइजेशन में मदद के लिए डेटा शेयर किया। इसके बावजूद, कंपनी ने बाद में घोषणा की कि वह अब उपयोगकर्ताओं की एचआईवी स्थिति को तीसरे पक्ष के साथ साझा नहीं करेगी।
सुरक्षा विशेषज्ञों ने बताया कि इस तरह की संवेदनशील जानकारी को तीसरे पक्ष के साथ साझा करने से लीक या उल्लंघन की संभावना बढ़ जाती है। सौभाग्य से ऑनलाइन टूल उपलब्ध हैं जो यह जांचने में आपकी मदद कर सकते हैं कि आपके ऑनलाइन खाते हैक किए गए थे या उनसे छेड़छाड़ की गई थी।
5. लीक हुए रिकॉर्ड देश की जनसंख्या से अधिक हैं
दक्षिण अफ्रीका का सबसे बड़ा डेटा लीक इतना व्यापक था कि लीक हुए व्यक्तिगत रिकॉर्ड की संख्या देश की पूरी आबादी से अधिक थी। लीक में न केवल देश के अधिकांश लोगों की व्यक्तिगत जानकारी शामिल थी, बल्कि मृत लोगों की भी जानकारी शामिल थी। डेटा में 12 मिलियन से अधिक नाबालिगों की पहचान (आईडी) संख्या भी शामिल थी।
कुल मिलाकर, डेटा ने व्यक्तिगत जानकारी जैसे संपर्क विवरण, पूर्ण नाम और बहुत कुछ के साथ 60 मिलियन अद्वितीय आईडी नंबरों को उजागर किया। रिसाव विशेष रूप से गंभीर था क्योंकि दक्षिण अफ्रीका के नागरिक के आईडी नंबर का उपयोग उनके बारे में व्यक्तिगत जानकारी जैसे कि जन्मदिन, लिंग और उम्र को इकट्ठा करने के लिए किया जा सकता है। अपराधी अक्सर इन नंबरों का इस्तेमाल पहचान चुराने या धोखाधड़ी करने के लिए करते हैं।
तो यह डेटा कैसे उजागर हुआ? मास्टरडीड्स.एसक्यूएल के नाम से एक डेटाबेस बैकअप पब्लिक-फेसिंग, असुरक्षित सर्वर पर पाया गया था। साइबर सुरक्षा विशेषज्ञ और HaveIBeenPwned.com के संस्थापक ट्रॉय हंट को डेटा के बारे में बताया गया, जो कम से कम सात महीने तक खुला रहा।
ड्रेकोर नाम की एक कंपनी ने डेटा एकत्र किया और डेटाबेस बनाया। लेकिन उनके ग्राहकों में से एक, आरा होल्डिंग्स ने एक असुरक्षित सर्वर के साथ डेटा को उजागर किया।
6. डेटा कंपनी की फ़ाइलें Twitter पर साझा की जाती हैं
मॉडर्न बिजनेस सॉल्यूशंस, एक यूएस-आधारित डेटा प्रबंधन कंपनी, ने 2016 में खुद को जनमत के गलत पक्ष में पाया। इसकी ढीली सुरक्षा के परिणामस्वरूप 58 मिलियन उपभोक्ता रिकॉर्ड उजागर हुए।
एक असुरक्षित MongoDB डेटाबेस की बदौलत एक हैकर लाखों लोगों की जानकारी तक पहुँचने और साझा करने में सक्षम था। हैकर ने डेटाबेस को डाउनलोड किया, इसे एक सार्वजनिक साइट पर अपलोड किया और फिर ट्विटर पर लिंक साझा किए। गलत तरीके से कॉन्फ़िगर किया गया MongoDB डेटाबेस उन कई तरीकों में से एक है, जिनसे हैकर्स अनजान लोगों से जानकारी चुराते हैं।
इस उदाहरण में, उजागर डेटा में नाम, जन्म तिथि, ईमेल और डाक पते, नौकरी के शीर्षक, फोन नंबर, वाहन डेटा और आईपी पते शामिल थे।
7. डेटा ब्रोकर्स से लाखों आइडेंटिटीज चुराए गए हैं
डेटा हार्वेस्टिंग कंपनियों द्वारा पेश की गई गोपनीयता संबंधी चिंताएं कुछ समय से मौजूद हैं। 2013 में भी डेटा हार्वेस्टिंग का खतरा तब सामने आया जब यह पता चला कि हैकर्स ने कई बड़े डेटा ब्रोकर्स के सर्वर तक पहुंच बनाई है। इस पहुंच ने उन्हें लाखों अमेरिकियों की जानकारी चुराने की अनुमति दी।
हैकर्स ने इस डेटा को गलत कॉन्फ़िगर किए गए सर्वर, सुरक्षा खामियों और असुरक्षित डेटाबेस के माध्यम से एक्सेस किया और इसे SSNDOB नाम की साइट पर अपलोड कर दिया। SSNDOB भी एक डेटा एग्रीगेटर था जो चोरी की जानकारी बेचता था।
चोरी किए गए डेटा में सामाजिक सुरक्षा नंबर, क्रेडिट रिकॉर्ड, पृष्ठभूमि की जांच, जन्मदिन, पते और अन्य व्यक्तिगत डेटा शामिल थे। जब हैक्टिविस्ट किशोरों ने SSNDOB का उल्लंघन किया, तो उन्होंने पाया कि रिकॉर्ड कितने व्यापक थे। यहां तक कि कान्ये वेस्ट, जे जेड और बेयॉन्से जैसी मशहूर हस्तियों के पते और व्यक्तिगत जानकारी; साथ ही तत्कालीन प्रथम महिला मिशेल ओबामा जैसी प्रमुख हस्तियां भी पहुंच योग्य थीं।
SSNDOB के बॉटनेट ने LexisNexis Inc, Dun &Bradstreet, और Kroll Background America Inc. जैसे प्रमुख डेटा ब्रोकरों के सर्वर तक पहुंच बनाई। FBI ने अंततः मामले की जांच शुरू की।
8. Alteryx ने 123 मिलियन अमेरिकी परिवारों का डेटा लीक किया
2017 में, UpGuard ने पाया कि डेटा एनालिटिक्स कंपनी Alteryx ने एक असुरक्षित डेटा रिपॉजिटरी के माध्यम से 123 मिलियन अमेरिकी परिवारों के डेटा को उजागर किया था।
सार्वजनिक रूप से सुलभ जानकारी विशेष रूप से संवेदनशील थी, क्योंकि एलटेरिक्स के भागीदारों में से एक उपभोक्ता क्रेडिट रिपोर्टिंग एजेंसी एक्सपीरियन है। भंडार में घर के पते, संपर्क विवरण, बंधक विवरण, वित्तीय इतिहास और खरीद इतिहास शामिल थे। Amazon Web Services खाते वाला कोई भी व्यक्ति इस जानकारी तक पहुंच सकता है।
अपगार्ड ने डेटा को "अमेरिकी उपभोक्ताओं के जीवन में उल्लेखनीय रूप से आक्रामक झलक" के रूप में वर्णित किया। सौभाग्य से डेटा अब सार्वजनिक रूप से उपलब्ध नहीं है, लेकिन इनमें से अधिकांश लीक की तरह, यह अनिश्चित है कि कितने लोगों ने ठोकर खाई और संवेदनशील जानकारी को डाउनलोड किया।
लीक ने उपभोक्ताओं को यह भी याद दिलाया कि कंपनियां कितना व्यक्तिगत डेटा एकत्र करती हैं। यहां तक कि साधारण इंटरनेट ब्राउज़िंग के परिणामस्वरूप वेबसाइटें आपके बारे में व्यक्तिगत जानकारी एकत्र करती हैं।
9. एक अन्य Facebook प्रश्नोत्तरी परिणाम लीक हुए उपयोगकर्ता डेटा में
फेसबुक यूजर्स अभी भी कैम्ब्रिज एनालिटिका स्कैंडल से जूझ रहे हैं। लेकिन ऐसा लगता है कि कैम्ब्रिज एनालिटिका डेटा हार्वेस्टिंग के लिए Facebook क्विज़ का उपयोग करने वाली अकेली नहीं थी।
न्यू साइंटिस्ट के अनुसार, कैम्ब्रिज विश्वविद्यालय के शोधकर्ताओं ने माई पर्सनैलिटी नामक एक प्रश्नोत्तरी बनाई। प्रश्नोत्तरी ने प्रतिभागियों पर डेटा काटा, जिसे शोधकर्ताओं ने एक ऑनलाइन डेटाबेस पर अपलोड किया। अन्य संस्थानों के सैकड़ों शोधकर्ता इस डेटा को शोध उद्देश्यों के लिए एक्सेस कर सकते हैं।
हालांकि, अपर्याप्त सुरक्षा उपायों ने इस डेटा को चार साल तक उजागर किया। जबकि केवल एक पंजीकृत सहयोगी लॉगिन ही डेटा तक पहुंच सकता है, क्रेडेंशियल के एक खुला कामकाजी सेट ने किसी भी सुरक्षा से समझौता किया।
"पिछले चार वर्षों से, एक काम करने वाला उपयोगकर्ता नाम और पासवर्ड ऑनलाइन उपलब्ध है जो एक ही वेब खोज से पाया जा सकता है। जो कोई भी डेटा सेट तक पहुंच चाहता था, उसे एक मिनट से भी कम समय में इसे डाउनलोड करने की कुंजी मिल सकती थी," नया वैज्ञानिक ने कहा।
डेटा में लगभग 3 मिलियन फेसबुक उपयोगकर्ताओं की व्यक्तिगत जानकारी और मनोवैज्ञानिक परीक्षणों से उनके परिणाम शामिल थे।
10. डेटाबेस ने 33 मिलियन कर्मचारियों को एक्सपोज़ किया
2017 में, जनता ने पाया कि अमेरिकी सरकार और कॉर्पोरेट कर्मचारियों पर एक डन एंड ब्रैडस्ट्रीट डेटाबेस लीक हो गया था। इसने 33 मिलियन से अधिक रिकॉर्ड को उजागर किया, जिसमें नाम, नौकरी की स्थिति और कार्य, वेतन, संपर्क विवरण और ईमेल पते जैसे विवरण शामिल थे।
यदि डन एंड ब्रैडस्ट्रीट परिचित लगता है, तो ऐसा इसलिए है क्योंकि उनके डेटाबेस को SSNDOB के संग्रह (पहले उल्लेख किया गया) में शामिल किया गया था। कंपनी, जो कर्मचारी डेटा एकत्र करती है और विपणक को रिकॉर्ड बेचती है, ने रिसाव के लिए जिम्मेदारी से इनकार किया। उन्होंने डेटाबेस बनाया, लेकिन रिसाव का संभावित स्रोत उनके हजारों ग्राहकों में से एक था।
एक स्रोत द्वारा उन्हें डेटाबेस भेजे जाने के बाद ट्रॉय हंट ने रिसाव की खोज की। हंट ने उल्लेख किया कि रक्षा विभाग के कर्मचारी रिकॉर्ड ने डेटा का बड़ा हिस्सा बनाया। इसने उन्हें विशेष जोखिम में डाल दिया क्योंकि डेटा में इंटेलिजेंस एनालिस्ट, केमिकल इंजीनियर, सैनिक और प्लाटून सार्जेंट जैसे जॉब टाइटल की पहचान की गई थी --- जो इसे विदेशी एजेंसियों के लिए उपयोगी बनाते हैं जो विशिष्ट सरकारी भूमिकाओं में घुसपैठ या हमला करना चाहते हैं।
"हमने अपने व्यक्तिगत डेटा पर नियंत्रण खो दिया है और जैसा कि [टिम] बर्नर्स-ली ने कुछ दिन पहले ही कहा था, हमारे पास अक्सर कंपनियों को वापस फीड करने का कोई तरीका नहीं होता है कि हम कौन सा डेटा साझा नहीं करेंगे," हंट ने कहा। डन एंड ब्रैडस्ट्रीट लीक पर उनकी रिपोर्ट।
लीक से प्रभावित अधिकांश लोगों को शायद इस बात का अंदाजा नहीं होगा कि कंपनियों ने उनका डेटा एकत्र किया और उसे सावधानीपूर्वक एकत्रित सूचियों में बेच दिया।
कंपनियां आपके बारे में आपके विचार से ज्यादा जानती हैं
इनमें से कई घटनाओं में, आप डेटा लीक के शिकार लोगों की जानकारी सार्वजनिक डोमेन तक पहुंचने के लिए उन्हें दोष नहीं दे सकते। बल्कि, कंपनियों ने इस डेटा को कई सेवाओं और रिकॉर्ड से काटा। उपभोक्ताओं को अक्सर इस बात का अंदाजा नहीं था कि कंपनियां इस डेटा को तीसरे पक्ष के साथ साझा करती हैं।
इसलिए आपके द्वारा उपयोग की जाने वाली सेवाओं की गोपनीयता नीतियों की जांच करना महत्वपूर्ण है। आपको किसी भी उल्लंघन और लीक से भी अवगत रहना चाहिए जो आपको प्रभावित कर सकता है।
आखिरकार, कंपनियां आपके बारे में बहुत कुछ जानती हैं जिसकी आप अपेक्षा करते हैं। लेकिन आप अपने डेटा की सुरक्षा में अधिक सक्रिय भूमिका निभा सकते हैं। अपनी गोपनीयता की ऑनलाइन सुरक्षा कैसे करें, इस बारे में हमारी मार्गदर्शिका देखना सुनिश्चित करें।