एक साइबर सुरक्षा भेद्यता ने एक बार फिर सुर्खियां बटोरीं, जिससे हम जिस डिजिटल पीढ़ी में रहते हैं, उसमें डेटा की सुरक्षा को लेकर गंभीर चिंताएं पैदा हो गई हैं।
आज, दुनिया भर में हजारों भाषाओं में वेबसाइटें पढ़ी जाती हैं। वर्डप्रेस, लोकप्रिय सामग्री प्रबंधन प्रणाली जो हमें वेबसाइट बनाने की अनुमति देती है, उसी के लिए एक प्लगइन है। WPML या वर्डप्रेस बहुभाषी प्लगइन का उपयोग 600,000 से अधिक वेबसाइटों द्वारा इसकी सामग्री को विभिन्न भाषाओं में प्रदर्शित करने के लिए किया गया है।
इस सप्ताह के अंत में, लोकप्रिय वर्डप्रेस प्लगइन WPML (WP MultiLingual) जो वर्डप्रेस उपयोगकर्ताओं के लिए एक भिन्न भाषा की सुविधा प्रदान करता है, साइबर दुनिया में बहुत चर्चा पैदा कर रहा था।
शोषण
एक पुराने पासवर्ड और एक छिपे हुए पिछले दरवाजे के माध्यम से वेबसाइट तक पहुंच प्राप्त करने के बाद, हैकर ने एक संदेश पोस्ट करके वेबसाइट को विकृत कर दिया, जिसमें दावा किया गया था कि WPML प्लगइन कमजोरियों से भरा था और इसके ग्राहकों को किसी भी संभावित समझौता के लिए अपनी वेबसाइटों की जांच करनी चाहिए। साथ ही, उसने WPML क्लाइंट को स्पैम ईमेल के रूप में एक ही संदेश भेजा, जिसमें दावा किया गया था कि वह एक सुरक्षा शोधकर्ता था जिसने WPML टीम को प्लगइन में कई कमजोरियों की सूचना दी थी, जिसे डेवलपर्स ने अनदेखा कर दिया था।
यह आरोप लगाया गया था कि एक अलग पूर्व कर्मचारी मलबे के नीचे है। ऐसा माना जाता है कि इस्तेमाल किए गए छिपे हुए पिछले दरवाजे को हमलावर ने उस समय डाला था जब वह अभी भी कंपनी में कार्यरत था। पहली छाप पर, यह प्लगइन को खराब करने के प्रयास की तरह लग रहा था। हैकर ने अपने ग्राहकों को ईमेल भेजकर वेबसाइट की आलोचना करते हुए कहा कि इसके द्वारा पर्याप्त मात्रा में शुल्क लेने के बावजूद उचित सुरक्षा पेशकशों की कमी है। उन्होंने ग्राहकों से वेबसाइट की सदस्यता समाप्त करने का आग्रह किया और उन्हें मालिकों से धनवापसी मांगने के लिए प्रेरित किया। ईमेल में सदस्यता समाप्त करने के लिए नीचे एक लिंक भी था।
WPML टीम की ओर से हमले का जवाब:
WPML डेवलपर्स के अनुसार:
- क्लाइंट की साइट पर चल रहे WPML प्लगइन में शोषण शामिल नहीं है
- ग्राहक की भुगतान जानकारी से समझौता नहीं किया गया था क्योंकि उन्होंने इसे संग्रहीत नहीं किया था
- घुसपैठिए के पास उपयोगकर्ताओं के नाम और ईमेल पते हैं। उनके पास WPML.org पर उपयोगकर्ता खातों तक भी पहुंच हो सकती है
- घुसपैठिए ने क्लाइंट की साइट की चाबियां चुरा लीं, लेकिन वे किसी काम के नहीं हैं। उन्होंने साइट को wpml.org से अपडेट प्राप्त करने की अनुमति दी लेकिन वह उनका उपयोग करके साइट में कोई बदलाव नहीं कर सकता
डब्ल्यूपीएमएल टीम के हमले से बचाव के उपाय:
WPML टीम ने कहा है कि उन्होंने अपने डेटा सर्वर को खरोंच से बनाना शुरू कर दिया है ताकि वे पिछले दरवाजे को हटा सकें और यह सुनिश्चित कर सकें कि उनके ग्राहकों के खाते सुरक्षित हैं।
जो सनसनीखेज सुरक्षा उल्लंघन हुआ, उसमें हमें यह सोचने पर मजबूर होना पड़ा कि हमारा डेटा ऑनलाइन कितना सुरक्षित है? इस हमले से हुए नुकसान का विश्लेषण करते हुए, यह पाया गया कि वर्डप्रेस पर बड़ी संख्या में WPML प्लगइन उपयोगकर्ताओं से संबंधित डेटा को असुरक्षित और हैकर की दया पर छोड़ दिया गया था, जैसा कि बाद में WPML टीम द्वारा पुष्टि की गई थी। उन्होंने कहा कि हैकर ने उनके ग्राहकों के नाम और ईमेल आईडी वाले डेटाबेस से छेड़छाड़ की थी। हालांकि, हैकर के लॉग इन करने और उपयोगकर्ताओं की साइटों तक पहुंचने की संभावना के बारे में पूछे जाने पर टीम चुप्पी साधे रही। उन्होंने उपयोगकर्ताओं को मेल के साथ भेजे गए किसी भी लिंक को खोलने के खिलाफ भी सलाह दी है क्योंकि इसमें मैलवेयर हो सकता है। कुछ समय के लिए, उन्होंने उपयोगकर्ताओं से केवल आधिकारिक वेब पते के माध्यम से वेबसाइट पर लॉग इन करने का भी अनुरोध किया है।
WPML टीम ने माफी मांगी है और अपने उपयोगकर्ताओं को एक अद्यतन और उन्नत सुरक्षा संरचना के साथ अपनी साइट के पुनर्निर्माण के बारे में सूचित किया है। मालिक ने यह भी कहा है कि कंपनी कानूनी कार्रवाई करने की योजना बना रही है। भले ही कंपनी ने खामियों की खोज और सुधार की पुष्टि की है और पुष्टि की है, यह सवाल बना हुआ है:हमारा डेटा ऑनलाइन कितना सुरक्षित है?