പ്രമുഖ ഫിൻടെക് ഭീമനായ ഫിഗർ ടെക്നോളജീസിൽ നടന്ന വൻ ഫിഗർ ഡാറ്റാ ബ്രീച്ച് ഇപ്പോൾ ഔദ്യോഗികമായി സ്ഥിരീകരിച്ചിരിക്കുന്നു, ഇത് ഡിജിറ്റൽ സാമ്പത്തിക ലോകത്ത് വലിയ ഞെട്ടലാണ് ഉണ്ടാക്കിയിരിക്കുന്നത്. ഉപഭോക്താക്കളുടെ അതീവ രഹസ്യ സ്വഭാവമുള്ള വ്യക്തിഗത വിവരങ്ങൾ ഹാക്കർമാർ ചോർത്തിയതായി കമ്പനി തന്നെ സമ്മതിച്ചു. ഈ സംഭവം ഡിജിറ്റൽ പ്ലാറ്റ്‌ഫോമുകളെ ആശ്രയിക്കുന്ന നമ്മൾ ഓരോരുത്തരും സൈബർ സുരക്ഷയുടെ പ്രാധാന്യത്തെക്കുറിച്ച് എത്രത്തോളം ബോധവാന്മാരാകണം എന്ന് ഓർമ്മിപ്പിക്കുന്നു.

ഒരു ജീവനക്കാരനെ സോഷ്യൽ എഞ്ചിനീയറിംഗ് തന്ത്രത്തിലൂടെ കബളിപ്പിച്ചാണ് ഹാക്കർമാർ കമ്പനിയുടെ സിസ്റ്റത്തിലേക്ക് നുഴഞ്ഞുകയറിയത്. ഈ ഫിഗർ ഡാറ്റാ ബ്രീച്ച് ഡിജിറ്റൽ വായ്പാ രംഗത്തെ സുരക്ഷാ വീഴ്ചകളിലേക്ക് വിരൽ ചൂണ്ടുന്നു. ഇന്ത്യയിലും കേരളത്തിലുമടക്കം ഡിജിറ്റൽ ലെൻഡിംഗ് ആപ്പുകൾ വ്യാപകമാകുന്ന ഈ കാലഘട്ടത്തിൽ, ഈ വാർത്ത നൽകുന്ന മുന്നറിയിപ്പുകൾ ചെറുതല്ല.

ഉള്ളടക്കം

• എന്താണ് ഫിഗർ ടെക്നോളജീസ്?
• ഫിഗർ ഡാറ്റാ ബ്രീച്ച്: യഥാർത്ഥത്തിൽ സംഭവിച്ചത് എന്ത്?
• ആക്രമണത്തിന് പിന്നിൽ ആര്? ഷൈനിഹണ്ടേഴ്സ് എന്ന കുപ്രസിദ്ധ സംഘം
• എന്തെല്ലാം വിവരങ്ങളാണ് ചോർന്നത്? അപകടം എത്രത്തോളം?
• എന്താണ് സോഷ്യൽ എഞ്ചിനീയറിംഗ്? സാധാരണക്കാർ എങ്ങനെ ഇരയാകുന്നു?
• ഓക്ട (Okta) എന്ന സുരക്ഷാ കവചത്തിലെ പാളിച്ച
• ഇന്ത്യയിലെ ഉപഭോക്താക്കൾക്ക് ഇതിൽ നിന്ന് എന്ത് പഠിക്കാം?
• ഉപസംഹാരം: ഡിജിറ്റൽ യുഗത്തിലെ സുരക്ഷാ പാഠങ്ങൾ

എന്താണ് ഫിഗർ ടെക്നോളജീസ്?

ഫിഗർ ടെക്നോളജീസ് അമേരിക്ക ആസ്ഥാനമായി പ്രവർത്തിക്കുന്ന ഒരു നൂതന സാമ്പത്തിക സാങ്കേതികവിദ്യാ (Fintech) കമ്പനിയാണ്. ബ്ലോക്ക്ചെയിൻ (Blockchain) സാങ്കേതികവിദ്യ ഉപയോഗിച്ച് വായ്പകൾ നൽകുന്നതിൽ ഇവർ ശ്രദ്ധ കേന്ദ്രീകരിക്കുന്നു. പരമ്പരാഗത ബാങ്കിംഗ് രീതികളിൽ നിന്ന് വ്യത്യസ്തമായി, വേഗത്തിലും എളുപ്പത്തിലും വായ്പ ലഭ്യമാക്കാൻ ഇവർക്ക് സാധിക്കുന്നു.

ഭവന വായ്പകൾ, വ്യക്തിഗത വായ്പകൾ തുടങ്ങിയവയെല്ലാം ഇവരുടെ സേവനങ്ങളിൽ ഉൾപ്പെടുന്നു. സാങ്കേതികവിദ്യയുടെ സാധ്യതകൾ ഉപയോഗിച്ച് സാമ്പത്തിക ഇടപാടുകൾ ലളിതമാക്കുന്ന ഇത്തരം കമ്പനികൾക്ക് ലോകമെമ്പാടും വലിയ സ്വീകാര്യതയാണ് ലഭിച്ചുകൊണ്ടിരിക്കുന്നത്. ഇന്ത്യയിലും സമാനമായ നിരവധി ഫിൻടെക് സ്റ്റാർട്ടപ്പുകൾ ഉയർന്നുവരുന്നുണ്ട്. അതുകൊണ്ട് തന്നെ, ഫിഗർ പോലുള്ള ഒരു വലിയ സ്ഥാപനത്തിലുണ്ടായ സുരക്ഷാ വീഴ്ച ആഗോളതലത്തിൽ തന്നെ ചർച്ചയാവുകയാണ്.

ഫിഗർ ഡാറ്റാ ബ്രീച്ച്: യഥാർത്ഥത്തിൽ സംഭവിച്ചത് എന്ത്?

ഒരു ജീവനക്കാരന് സംഭവിച്ച ചെറിയൊരു പിഴവാണ് ഇത്രയും വലിയൊരു ഫിഗർ ഡാറ്റാ ബ്രീച്ച്-ലേക്ക് നയിച്ചത്. ഹാക്കർമാർ വളരെ തന്ത്രപരമായ ഒരു സോഷ്യൽ എഞ്ചിനീയറിംഗ് ആക്രമണം (Social Engineering Attack) നടത്തി. ജീവനക്കാരനെ കബളിപ്പിച്ച് ലോഗിൻ വിവരങ്ങൾ കൈക്കലാക്കുകയും അതുവഴി കമ്പനിയുടെ നെറ്റ്‌വർക്കിലേക്ക് പ്രവേശിക്കുകയുമായിരുന്നു.

കമ്പനി വക്താവ് അലീതിയ ജാഡിക്ക് ടെക്ക്രഞ്ചിന് നൽകിയ പ്രസ്താവനയിൽ ഇക്കാര്യം സ്ഥിരീകരിച്ചിട്ടുണ്ട്. “പരിമിതമായ അളവിലുള്ള ഫയലുകൾ” ഹാക്കർമാർ കൈക്കലാക്കിയെന്നും, വിവരങ്ങൾ നഷ്ടപ്പെട്ട ഉപഭോക്താക്കളുമായി ബന്ധപ്പെട്ടുകൊണ്ടിരിക്കുകയാണെന്നും അവർ അറിയിച്ചു. നഷ്ടപരിഹാരമായി ഇവർക്ക് സൗജന്യ ക്രെഡിറ്റ് മോണിറ്ററിംഗ് സേവനവും കമ്പനി വാഗ്ദാനം ചെയ്തിട്ടുണ്ട്.

എങ്കിലും, ആക്രമണത്തിന്റെ വ്യാപ്തിയെക്കുറിച്ചോ, എത്ര ഉപഭോക്താക്കളുടെ വിവരങ്ങൾ ചോർന്നു എന്നതിനെക്കുറിച്ചോ കൃത്യമായ കണക്കുകൾ പുറത്തുവിടാൻ കമ്പനി തയ്യാറായിട്ടില്ല. ഈ മൗനം ഉപഭോക്താക്കൾക്കിടയിൽ ആശങ്ക വർദ്ധിപ്പിക്കുന്നുണ്ട്.

ആക്രമണത്തിന് പിന്നിൽ ആര്? ഷൈനിഹണ്ടേഴ്സ് എന്ന കുപ്രസിദ്ധ സംഘം

ഈ ഫിഗർ ഡാറ്റാ ബ്രീച്ച്-ന്റെ ഉത്തരവാദിത്തം ‘ഷൈനിഹണ്ടേഴ്സ്’ (ShinyHunters) എന്നറിയപ്പെടുന്ന കുപ്രസിദ്ധ ഹാക്കർ ഗ്രൂപ്പ് ഏറ്റെടുത്തിട്ടുണ്ട്. ഡാർക്ക് വെബ്ബിലുള്ള അവരുടെ ഔദ്യോഗിക വെബ്സൈറ്റിലൂടെയാണ് അവർ ഈ പ്രഖ്യാപനം നടത്തിയത്. ഫിഗർ കമ്പനിയോട് ഇവർ മോചനദ്രവ്യം (Ransom) ആവശ്യപ്പെട്ടിരുന്നു. എന്നാൽ കമ്പനി പണം നൽകാൻ വിസമ്മതിച്ചതോടെ, ചോർത്തിയ വിവരങ്ങൾ പുറത്തുവിടാൻ തുടങ്ങി.

ഏകദേശം 2.5 ജിഗാബൈറ്റ് (GB) ഡാറ്റയാണ് ഇവർ ഡാർക്ക് വെബ്ബിൽ പ്രസിദ്ധീകരിച്ചത്. ലോകമെമ്പാടുമുള്ള നിരവധി വലിയ കമ്പനികളെ ആക്രമിച്ച് ഡാറ്റ ചോർത്തുകയും പിന്നീട് അത് വിൽക്കുകയോ സൗജന്യമായി പുറത്തുവിടുകയോ ചെയ്യുന്നതാണ് ഷൈനിഹണ്ടേഴ്സിന്റെ രീതി. ഇവരുടെ പ്രവർത്തനങ്ങൾ സൈബർ സുരക്ഷാ ഏജൻസികൾക്ക് വലിയ തലവേദനയാണ് സൃഷ്ടിക്കുന്നത്.

എന്തെല്ലാം വിവരങ്ങളാണ് ചോർന്നത്? അപകടം എത്രത്തോളം?

ഈ ഫിഗർ ഡാറ്റാ ബ്രീച്ച് വഴി ഉപഭോക്താക്കളുടെ വളരെ പ്രധാനപ്പെട്ട വ്യക്തിഗത വിവരങ്ങളാണ് ചോർന്നത്. ടെക്ക്രഞ്ച് പരിശോധിച്ച ഡാറ്റാ സാമ്പിളുകളിൽ താഴെ പറയുന്ന വിവരങ്ങൾ ഉൾപ്പെടുന്നു:

• പൂർണ്ണമായ പേര്
• വീടിന്റെ വിലാസം
• ജനനത്തീയതി
• ഫോൺ നമ്പർ

ഈ വിവരങ്ങൾ ഒറ്റനോട്ടത്തിൽ നിസ്സാരമെന്ന് തോന്നാമെങ്കിലും, അവ ദുരുപയോഗം ചെയ്യപ്പെടാനുള്ള സാധ്യതകൾ വളരെ വലുതാണ്. ഈ ഡാറ്റ ഉപയോഗിച്ച് സൈബർ കുറ്റവാളികൾക്ക് ഐഡന്റിറ്റി മോഷണം (Identity Theft) നടത്താൻ സാധിക്കും. അതായത്, നിങ്ങളുടെ പേരും വിലാസവും ഉപയോഗിച്ച് പുതിയ ബാങ്ക് അക്കൗണ്ടുകൾ തുറക്കാനോ, നിങ്ങളുടെ പേരിൽ വായ്പയെടുക്കാനോ വരെ കഴിഞ്ഞേക്കാം.

മാത്രമല്ല, ഈ വിവരങ്ങൾ ഉപയോഗിച്ച് കൂടുതൽ കൃത്യതയുള്ള ഫിഷിംഗ് (Phishing) ആക്രമണങ്ങൾ നടത്താനും സാധിക്കും. നിങ്ങളുടെ പേരും ഫോൺ നമ്പറും അറിയാവുന്ന ഒരാൾ ബാങ്കിൽ നിന്നാണെന്ന് പറഞ്ഞ് വിളിക്കുമ്പോൾ വിശ്വസിക്കാനുള്ള സാധ്യത കൂടുതലാണ്. ഇത് വലിയ സാമ്പത്തിക തട്ടിപ്പുകളിലേക്ക് നയിച്ചേക്കാം.

എന്താണ് സോഷ്യൽ എഞ്ചിനീയറിംഗ്? സാധാരണക്കാർ എങ്ങനെ ഇരയാകുന്നു?

സാങ്കേതികമായ ഹാക്കിംഗ് ടൂളുകൾ ഉപയോഗിക്കുന്നതിന് പകരം മനുഷ്യന്റെ മനശാസ്ത്രത്തെ മുതലെടുത്ത് വിവരങ്ങൾ ചോർത്തുന്ന രീതിയാണ് സോഷ്യൽ എഞ്ചിനീയറിംഗ്. ആളുകളുടെ വിശ്വാസം നേടിയെടുക്കുക, അവരെ ഭയപ്പെടുത്തുക, അല്ലെങ്കിൽ സഹതാപം പിടിച്ചുപറ്റുക തുടങ്ങിയ തന്ത്രങ്ങളിലൂടെയാണ് ഇത് ചെയ്യുന്നത്.

കേരളത്തിൽ നമുക്ക് സുപരിചിതമായ ‘ഒടിപി തട്ടിപ്പ്’ ഇതിന്റെ ഏറ്റവും ലളിതമായ ഉദാഹരണമാണ്. ബാങ്കിൽ നിന്നാണെന്ന് പറഞ്ഞ് വിളിച്ച്, നിങ്ങളുടെ എടിഎം കാർഡ് ബ്ലോക്ക് ആയി, ശരിയാക്കാൻ ഒടിപി പറഞ്ഞുതരൂ എന്ന് ആവശ്യപ്പെടുമ്പോൾ പലരും ഭയന്ന് അത് പങ്കുവെക്കുന്നു. ഇവിടെ ഹാക്കർമാർ ഉപയോഗിക്കുന്നത് സാങ്കേതികവിദ്യയല്ല, മറിച്ച് നമ്മുടെ ഭയത്തെയും അറിവില്ലായ്മയെയുമാണ്. ഫിഗർ ജീവനക്കാരനും സമാനമായ ഒരു കെണിയിലാണ് വീണത്.

ഓക്ട (Okta) എന്ന സുരക്ഷാ കവചത്തിലെ പാളിച്ച

ഈ ഫിഗർ ഡാറ്റാ ബ്രീച്ച് ഒരു ഒറ്റപ്പെട്ട സംഭവമല്ലെന്നാണ് ഷൈനിഹണ്ടേഴ്സ് പറയുന്നത്. സിംഗിൾ സൈൻ-ഓൺ (Single Sign-On) സേവനം നൽകുന്ന ‘ഓക്ട’ (Okta) എന്ന പ്ലാറ്റ്‌ഫോമിനെ ആശ്രയിക്കുന്ന ഉപഭോക്താക്കളെ ലക്ഷ്യം വെച്ചുള്ള ഒരു വലിയ ആക്രമണ പരമ്പരയുടെ ഭാഗമായിരുന്നു ഇതും.

ഒന്നിലധികം ആപ്ലിക്കേഷനുകളിലേക്കും വെബ്സൈറ്റുകളിലേക്കും ഒരൊറ്റ യൂസർനെയിമും പാസ്‌വേഡും ഉപയോഗിച്ച് ലോഗിൻ ചെയ്യാൻ സഹായിക്കുന്ന ഒരു സേവനമാണ് ഓക്ട. ഇത് സൗകര്യപ്രദമാണെങ്കിലും, ആ ഒരൊറ്റ ലോഗിൻ വിവരങ്ങൾ ചോർന്നാൽ അതുമായി ബന്ധിപ്പിച്ചിട്ടുള്ള എല്ലാ അക്കൗണ്ടുകളിലേക്കും ഹാക്കർമാർക്ക് പ്രവേശനം ലഭിക്കും. ഹാർവാർഡ്, പെൻസിൽവാനിയ തുടങ്ങിയ ലോകോത്തര സർവകലാശാലകളും ഈ ആക്രമണ പരമ്പരയ്ക്ക് ഇരയായിട്ടുണ്ട് എന്നത് വിഷയത്തിന്റെ ഗൗരവം വർദ്ധിപ്പിക്കുന്നു.

ഇന്ത്യയിലെ ഉപഭോക്താക്കൾക്ക് ഇതിൽ നിന്ന് എന്ത് പഠിക്കാം?

യുപിഐ (UPI) ഇടപാടുകളും ഡിജിറ്റൽ വായ്പാ ആപ്പുകളും സർവ്വസാധാരണമായ ഇന്ത്യയിലെയും കേരളത്തിലെയും ഉപഭോക്താക്കൾക്ക് ഫിഗർ ഡാറ്റാ ബ്രീച്ച് ഒരു വലിയ പാഠമാണ് നൽകുന്നത്. നമ്മുടെ ഡിജിറ്റൽ ജീവിതം സുരക്ഷിതമാക്കാൻ ചില കാര്യങ്ങൾ ശ്രദ്ധിക്കേണ്ടത് അത്യാവശ്യമാണ്.

ശക്തമായ പാസ്‌വേഡുകൾ ഉപയോഗിക്കുക

എല്ലാ ഓൺലൈൻ അക്കൗണ്ടുകൾക്കും ഒരേ പാസ്‌വേഡ് ഉപയോഗിക്കുന്ന ശീലം ഒഴിവാക്കുക. അക്ഷരങ്ങൾ, അക്കങ്ങൾ, ചിഹ്നങ്ങൾ എന്നിവയെല്ലാം ഉൾപ്പെടുത്തി ഊഹിക്കാൻ പ്രയാസമുള്ള പാസ്‌വേഡുകൾ ഉണ്ടാക്കുക. ‘password123’, ‘yourname@123’ പോലുള്ള പാസ്‌വേഡുകൾ ഒഴിവാക്കുക.

ടു-ഫാക്ടർ ഓതന്റിക്കേഷൻ (Two-Factor Authentication) പ്രവർത്തനക്ഷമമാക്കുക

പാസ്‌വേഡിന് പുറമെ നിങ്ങളുടെ ഫോണിലേക്ക് വരുന്ന ഒടിപി കോഡോ, ഓതന്റിക്കേറ്റർ ആപ്പിലെ കോഡോ നൽകിയാൽ മാത്രം ലോഗിൻ ചെയ്യാൻ സാധിക്കുന്ന സംവിധാനമാണിത്. ജിമെയിൽ, ഫേസ്ബുക്ക്, ഇൻസ്റ്റാഗ്രാം തുടങ്ങി മിക്കവാറും എല്ലാ സേവനങ്ങളിലും ഇന്ന് ഈ സൗകര്യം ലഭ്യമാണ്. ഇത് നിങ്ങളുടെ അക്കൗണ്ടുകൾക്ക് ഒരു അധിക സുരക്ഷാ കവചം നൽകും.

ഫിഷിംഗ് തട്ടിപ്പുകൾ തിരിച്ചറിയുക

ബാങ്കിൽ നിന്നോ മറ്റ് സ്ഥാപനങ്ങളിൽ നിന്നോ വരുന്നതെന്ന് തോന്നിക്കുന്ന വ്യാജ ഇമെയിലുകളെയും എസ്എംഎസുകളെയും തിരിച്ചറിയാൻ പഠിക്കുക. സംശയാസ്പദമായ ലിങ്കുകളിൽ ക്ലിക്ക് ചെയ്യരുത്. നിങ്ങളുടെ വ്യക്തിഗത വിവരങ്ങളോ, പാസ്‌വേഡോ, ഒടിപിയോ ആരുമായി പങ്കുവെക്കാതിരിക്കുക. ഒരു ബാങ്കും നിങ്ങളോട് ഫോണിലൂടെയോ ഇമെയിലിലൂടെയോ ഈ വിവരങ്ങൾ ആവശ്യപ്പെടില്ല.

സോഫ്റ്റ്‌വെയർ അപ്ഡേറ്റുകൾ അവഗണിക്കരുത്

നിങ്ങളുടെ മൊബൈൽ ഫോണിലെയും കമ്പ്യൂട്ടറിലെയും ഓപ്പറേറ്റിംഗ് സിസ്റ്റവും ആപ്ലിക്കേഷനുകളും എപ്പോഴും അപ്ഡേറ്റ് ചെയ്ത് വെക്കുക. ഓരോ അപ്ഡേറ്റിലും പുതിയ സുരക്ഷാ ക്രമീകരണങ്ങൾ കമ്പനികൾ ഉൾപ്പെടുത്താറുണ്ട്. ഇത് ഹാക്കർമാരുടെ ആക്രമണങ്ങളിൽ നിന്ന് ഒരു പരിധി വരെ നിങ്ങളെ സംരക്ഷിക്കും.

ഉപസംഹാരം: ഡിജിറ്റൽ യുഗത്തിലെ സുരക്ഷാ പാഠങ്ങൾ

ഫിഗർ ടെക്നോളജീസിൽ നടന്ന ഫിഗർ ഡാറ്റാ ബ്രീച്ച്, ഡിജിറ്റൽ ലോകത്ത് ഒരു കമ്പനിയും പൂർണ്ണമായി സുരക്ഷിതരല്ല എന്ന യാഥാർത്ഥ്യം നമ്മെ ഓർമ്മിപ്പിക്കുന്നു. സാങ്കേതികവിദ്യ വളരുന്നതിനനുസരിച്ച് സൈബർ കുറ്റവാളികളുടെ തന്ത്രങ്ങളും മാറിക്കൊണ്ടിരിക്കുകയാണ്. അതുകൊണ്ട് തന്നെ, കമ്പനികൾ സുരക്ഷാ സംവിധാനങ്ങൾ ശക്തിപ്പെടുത്തുന്നതിനോടൊപ്പം ഉപഭോക്താക്കളായ നമ്മളും ഡിജിറ്റൽ സുരക്ഷയെക്കുറിച്ച് ബോധവാന്മാരാകേണ്ടതുണ്ട്.

നമ്മുടെ വ്യക്തിഗത വിവരങ്ങൾ ഒരു നിധി പോലെയാണ്. അത് സംരക്ഷിക്കേണ്ട പ്രാഥമിക ഉത്തരവാദിത്തം നമുക്ക് ഓരോരുത്തർക്കുമുണ്ട്. മുകളിൽ പറഞ്ഞിരിക്കുന്ന ലളിതമായ സുരക്ഷാ മാർഗ്ഗങ്ങൾ പാലിക്കുന്നതിലൂടെ ഓൺലൈൻ തട്ടിപ്പുകളിൽ നിന്ന് ഒരു പരിധി വരെ നമുക്ക് രക്ഷനേടാനാകും. ഡിജിറ്റൽ ലോകത്ത് ജാഗ്രതയാണ് ഏറ്റവും വലിയ പ്രതിരോധം.

ഇന്ത്യയിലെ ഏറ്റവും വലിയ ഫാർമസി ശൃംഖലകളിലൊന്നിൽ നടന്ന ഗുരുതരമായ ഇന്ത്യൻ ഫാർമസി ഡാറ്റാ ചോർച്ച ആയിരക്കണക്കിന് ഉപഭോക്താക്കളുടെ സ്വകാര്യ വിവരങ്ങൾ അപകടത്തിലാക്കി. പ്രമുഖ ഫാർമസി ശൃംഖലയായ ദവാഇന്ത്യയുടെ (DavaIndia) വെബ്സൈറ്റിലുണ്ടായ ഒരു സുരക്ഷാ പിഴവാണ് ഉപഭോക്താക്കളുടെ ഓർഡർ വിവരങ്ങളും മരുന്ന് നിയന്ത്രണ സംവിധാനങ്ങളും വരെ പുറത്തുനിന്നുള്ളവർക്ക് ലഭ്യമാക്കിയത്.

ഈ സുരക്ഷാ വീഴ്ചയിലൂടെ, ഹാക്കർമാർക്ക് വെബ്സൈറ്റിന്റെ പൂർണ്ണമായ അഡ്മിനിസ്ട്രേറ്റീവ് നിയന്ത്രണം (Administrative Control) നേടാൻ സാധിക്കുമായിരുന്നു. ഇത് ഉപഭോക്താക്കളുടെ ആരോഗ്യ വിവരങ്ങൾ അടങ്ങിയ ഡാറ്റയുടെ സ്വകാര്യതയെക്കുറിച്ച് വലിയ ആശങ്കകളാണ് ഉയർത്തുന്നത്. കേരളത്തിലടക്കം നിരവധി ഉപഭോക്താക്കളുള്ള ഒരു ശൃംഖലയിൽ ഇത്തരമൊരു സംഭവം നടന്നത് ഡിജിറ്റൽ ലോകത്തെ സുരക്ഷയെക്കുറിച്ച് നമ്മെ വീണ്ടും ഓർമ്മിപ്പിക്കുന്നു.

ഉള്ളടക്കം

• എന്താണ് ദവാഇന്ത്യയിൽ സംഭവിച്ച സുരക്ഷാ വീഴ്ച?
• ഈ ഇന്ത്യൻ ഫാർമസി ഡാറ്റാ ചോർച്ച എത്രത്തോളം ഗുരുതരമാണ്?
• ‘സൂപ്പർ അഡ്മിൻ’ അക്കൗണ്ട്: എന്താണ് ഇതിന്റെ അപകടം?
• സുരക്ഷാ വീഴ്ച എങ്ങനെ കണ്ടെത്തി, പരിഹരിച്ചു?
• ഫാർമസി ഡാറ്റ എന്തുകൊണ്ട് അതീവ പ്രാധാന്യമർഹിക്കുന്നു?
• ഉപഭോക്താക്കൾ എന്ന നിലയിൽ നാം എന്ത് ചെയ്യണം?
• ഇന്ത്യയിലെ ഡാറ്റാ സുരക്ഷയുടെ ഭാവി

എന്താണ് ദവാഇന്ത്യയിൽ സംഭവിച്ച സുരക്ഷാ വീഴ്ച?

സോട്ട ഹെൽത്ത്‌കെയറിന്റെ (Zota Healthcare) ഫാർമസി വിഭാഗമായ ദവാഇന്ത്യ, ഇന്ത്യയിലുടനീളം 2300-ൽ അധികം റീട്ടെയിൽ സ്റ്റോറുകളുള്ള ഒരു ഭീമൻ ശൃംഖലയാണ്. ഇവരുടെ വെബ്സൈറ്റിലും ആപ്ലിക്കേഷനിലുമാണ് ഗുരുതരമായ സുരക്ഷാ പിഴവ് കണ്ടെത്തിയത്. ഈറ്റൺ സ്വെയർ എന്ന സൈബർ സുരക്ഷാ ഗവേഷകനാണ് ഈ അപകടം ആദ്യമായി തിരിച്ചറിഞ്ഞത്.

ദവാഇന്ത്യയുടെ വെബ്സൈറ്റിൽ സുരക്ഷിതമല്ലാത്ത “സൂപ്പർ അഡ്മിൻ” ആപ്ലിക്കേഷൻ പ്രോഗ്രാമിംഗ് ഇന്റർഫേസുകൾ (APIs) ഉണ്ടായിരുന്നതാണ് പ്രശ്നത്തിന് കാരണം. സാധാരണയായി, ഇത്തരം അഡ്മിൻ പാനലുകൾക്ക് ശക്തമായ പാസ്‌വേഡുകളും സുരക്ഷാ സംവിധാനങ്ങളും ഉണ്ടാകും. എന്നാൽ ഇവിടെ, യാതൊരുവിധ സുരക്ഷാ പരിശോധനകളുമില്ലാതെ ആർക്കും ഒരു “സൂപ്പർ അഡ്മിൻ” അക്കൗണ്ട് ഉണ്ടാക്കാൻ സാധിക്കുമായിരുന്നു.

ഈ പിഴവ് കണ്ടെത്തിയ ഉടൻ തന്നെ ഗവേഷകൻ ഇന്ത്യൻ സൈബർ സുരക്ഷാ ഏജൻസിയായ CERT-In-നെ വിവരമറിയിച്ചു. തുടർന്ന് അധികൃതരുടെ ഇടപെടലിലൂടെ ഈ സുരക്ഷാ വീഴ്ച പരിഹരിക്കുകയായിരുന്നു. എന്നാൽ, ഈ പിഴവ് 2024-ന്റെ അവസാനത്തോടെ നിലവിലുണ്ടായിരുന്നു എന്നാണ് സിസ്റ്റം ടൈംസ്റ്റാമ്പുകൾ സൂചിപ്പിക്കുന്നത്.

ഈ ഇന്ത്യൻ ഫാർമസി ഡാറ്റാ ചോർച്ച എത്രത്തോളം ഗുരുതരമാണ്?

ഒരു സാധാരണ ഡാറ്റാ ചോർച്ച പോലെയല്ല ഇത്. ഒരു ഫാർമസിയുടെ വിവരങ്ങൾ ചോരുമ്പോൾ, അത് വ്യക്തികളുടെ ആരോഗ്യപരമായ സ്വകാര്യതയെക്കൂടിയാണ് ബാധിക്കുന്നത്. ഈ സുരക്ഷാ വീഴ്ചയുടെ പ്രത്യാഘാതങ്ങൾ വളരെ വലുതാണ്. ചോർന്ന വിവരങ്ങളിൽ താഴെ പറയുന്നവ ഉൾപ്പെടുന്നു:

• ഉപഭോക്താക്കളുടെ പൂർണ്ണമായ വിവരങ്ങൾ: പേര്, ഫോൺ നമ്പർ, ഇമെയിൽ ഐഡി, വീട്ടുവിലാസം എന്നിവയെല്ലാം ഇതിൽ ഉൾപ്പെടും.
• ഓർഡർ വിവരങ്ങൾ: ഓരോ ഉപഭോക്താവും വാങ്ങിയ മരുന്നുകളുടെ പൂർണ്ണമായ ലിസ്റ്റ്. ഇത് ഒരു വ്യക്തിയുടെ രോഗാവസ്ഥയെക്കുറിച്ചുള്ള സൂചന നൽകാൻ പര്യാപ്തമാണ്.
• സാമ്പത്തിക വിവരങ്ങൾ: ഓർഡറുകൾക്കായി നൽകിയ തുകയുടെ വിവരങ്ങളും ലഭ്യമായിരുന്നു.

ഗവേഷകന്റെ കണ്ടെത്തൽ പ്രകാരം, ഏകദേശം 17,000 ഓൺലൈൻ ഓർഡറുകളുടെ വിവരങ്ങളാണ് ഈ സുരക്ഷാ വീഴ്ചയിലൂടെ പുറത്തായത്. കൂടാതെ, 883 സ്റ്റോറുകളുടെ അഡ്മിനിസ്ട്രേറ്റീവ് നിയന്ത്രണങ്ങളും ഇതിലൂടെ നേടാമായിരുന്നു. ഇത് കേവലം ഒരു ഇന്ത്യൻ ഫാർമസി ഡാറ്റാ ചോർച്ച എന്നതിലുപരി, ഒരു വലിയ ശൃംഖലയുടെ പ്രവർത്തനത്തെത്തന്നെ അട്ടിമറിക്കാൻ സാധ്യതയുള്ള ഒന്നായിരുന്നു.

‘സൂപ്പർ അഡ്മിൻ’ അക്കൗണ്ട്: എന്താണ് ഇതിന്റെ അപകടം?

ഒരു വെബ്സൈറ്റിന്റെയോ ആപ്ലിക്കേഷന്റെയോ സമ്പൂർണ്ണ നിയന്ത്രണമുള്ള അക്കൗണ്ടിനെയാണ് ‘സൂപ്പർ അഡ്മിൻ’ എന്ന് പറയുന്നത്. സാധാരണയായി കമ്പനിയുടെ ഏറ്റവും ഉയർന്ന സാങ്കേതിക വിദഗ്ദ്ധർക്ക് മാത്രമാണ് ഈ സൗകര്യം ലഭ്യമാവുക. എന്നാൽ ദവാഇന്ത്യയുടെ കാര്യത്തിൽ, ആർക്കും ഇത്തരമൊരു അക്കൗണ്ട് ഉണ്ടാക്കാമെന്ന അവസ്ഥയായിരുന്നു.

ഇത്തരമൊരു അക്കൗണ്ട് കൈവശമുള്ള ഒരാൾക്ക് ചെയ്യാൻ കഴിയുന്ന കാര്യങ്ങൾ ഭയാനകമാണ്:

• ഉൽപ്പന്നങ്ങളുടെ വില മാറ്റുക: ഏത് മരുന്നിന്റെയും വില കൂട്ടാനും കുറയ്ക്കാനും സാധിക്കും.
• ഡിസ്‌കൗണ്ട് കൂപ്പണുകൾ ഉണ്ടാക്കുക: വ്യാജ ഡിസ്‌കൗണ്ടുകൾ നൽകി ഉപഭോക്താക്കളെ കബളിപ്പിക്കാനും സാമ്പത്തിക നേട്ടമുണ്ടാക്കാനും കഴിയും.
• പ്രിസ്‌ക്രിപ്ഷൻ നിയമങ്ങൾ മാറ്റുക: ഡോക്ടറുടെ കുറിപ്പടി ആവശ്യമുള്ള മരുന്നുകൾ, കുറിപ്പടിയില്ലാതെ വിൽക്കാൻ ക്രമീകരണങ്ങൾ മാറ്റാൻ സാധിക്കുമായിരുന്നു. ഇത് മരുന്നുകളുടെ ദുരുപയോഗത്തിന് വഴിവെച്ചേക്കാം.
• വെബ്സൈറ്റ് ഉള്ളടക്കം മാറ്റുക: വെബ്സൈറ്റിൽ തെറ്റായ വിവരങ്ങൾ നൽകാനോ, വെബ്സൈറ്റിന്റെ രൂപം തന്നെ മാറ്റാനോ (Defacement) സാധിക്കുമായിരുന്നു.

ഇത്രയും വലിയ അധികാരങ്ങൾ ഒരു സുരക്ഷയുമില്ലാതെ തുറന്നുകിടന്നത് ദവാഇന്ത്യയുടെ ഭാഗത്തുനിന്നുണ്ടായ അതീവ ഗുരുതരമായ വീഴ്ചയാണ് കാണിക്കുന്നത്.

സുരക്ഷാ വീഴ്ച എങ്ങനെ കണ്ടെത്തി, പരിഹരിച്ചു?

ഈറ്റൺ സ്വെയർ എന്ന ഗവേഷകൻ 2025 ഓഗസ്റ്റിലാണ് ഈ പ്രശ്നം CERT-In (Indian Computer Emergency Response Team) എന്ന ദേശീയ സൈബർ സുരക്ഷാ ഏജൻസിയെ അറിയിക്കുന്നത്. CERT-In ഇന്ത്യയിലെ സൈബർ സുരക്ഷാ ഭീഷണികൾ കൈകാര്യം ചെയ്യുന്നതിനുള്ള കേന്ദ്ര സർക്കാർ സ്ഥാപനമാണ്.

വിവരം ലഭിച്ചയുടൻ ഏജൻസി ദവാഇന്ത്യയുമായി ബന്ധപ്പെട്ടു. ഏതാനും ആഴ്ചകൾക്കുള്ളിൽ തന്നെ ഈ സുരക്ഷാ പിഴവ് പരിഹരിക്കപ്പെട്ടു. എന്നാൽ, പ്രശ്നം പൂർണ്ണമായി പരിഹരിച്ചുവെന്ന് കമ്പനി ഔദ്യോഗികമായി സ്ഥിരീകരിക്കാൻ നവംബർ അവസാനം വരെ സമയമെടുത്തു. ഈ കാലതാമസം കമ്പനിയുടെ സുതാര്യതയെക്കുറിച്ചുള്ള ചോദ്യങ്ങൾ ഉയർത്തുന്നുണ്ട്.

ഈ പിഴവ് മറ്റാരെങ്കിലും മുതലെടുത്ത് ഡാറ്റ ദുരുപയോഗം ചെയ്തതായി ഇതുവരെ തെളിവുകളൊന്നും ലഭിച്ചിട്ടില്ല എന്നത് ആശ്വാസകരമാണ്. എന്നിരുന്നാലും, ഇത്രയും കാലം ഇങ്ങനെയൊരു പഴുത് നിലനിന്നിരുന്നു എന്നത് തന്നെ ആശങ്കാജനകമാണ്.

ഫാർമസി ഡാറ്റ എന്തുകൊണ്ട് അതീവ പ്രാധാന്യമർഹിക്കുന്നു?

ഒരു ഇ-കൊമേഴ്‌സ് സൈറ്റിൽ നിന്ന് നിങ്ങളുടെ വിലാസമോ ഫോൺ നമ്പറോ ചോരുന്നത് പോലെയല്ല ഒരു ഫാർമസിയിൽ നിന്ന് വിവരങ്ങൾ ചോരുന്നത്. ഫാർമസി ഓർഡറുകളിലെ വിവരങ്ങൾ ഒരു വ്യക്തിയുടെ ആരോഗ്യപരമായ കാര്യങ്ങളിലേക്ക് വെളിച്ചം വീശുന്നവയാണ്. ഉദാഹരണത്തിന്, ഒരാൾ സ്ഥിരമായി പ്രമേഹത്തിനോ, ഹൃദ്രോഗത്തിനോ, അല്ലെങ്കിൽ മാനസികാരോഗ്യ പ്രശ്നങ്ങൾക്കോ മരുന്ന് വാങ്ങുന്നുണ്ടെങ്കിൽ ആ വിവരം പുറത്താകുന്നത് സാമൂഹികമായി പല പ്രത്യാഘാതങ്ങളും ഉണ്ടാക്കിയേക്കാം.

ഇത്തരം വിവരങ്ങൾ ഇൻഷുറൻസ് കമ്പനികൾക്കോ, തൊഴിൽ ദാതാക്കൾക്കോ ലഭിച്ചാൽ അത് വ്യക്തിയുടെ ഭാവിയെത്തന്നെ ബാധിച്ചേക്കാം. അതുകൊണ്ടാണ് ഫാർമസി ഡാറ്റയ്ക്ക് അതീവ സുരക്ഷ നൽകണമെന്ന് നിയമങ്ങൾ അനുശാസിക്കുന്നത്. ഈ ഇന്ത്യൻ ഫാർമസി ഡാറ്റാ ചോർച്ച അത്തരം നിയമങ്ങളുടെ ലംഘനം കൂടിയാണ്.

ഉപഭോക്താക്കൾ എന്ന നിലയിൽ നാം എന്ത് ചെയ്യണം?

ദവാഇന്ത്യയുടെ ഈ സംഭവം നമുക്കെല്ലാവർക്കും ഒരു പാഠമാണ്. ഓൺലൈനായി മരുന്നുകൾ വാങ്ങുമ്പോഴും മറ്റ് സേവനങ്ങൾ ഉപയോഗിക്കുമ്പോഴും ചില കാര്യങ്ങൾ ശ്രദ്ധിക്കേണ്ടതുണ്ട്. കേരളത്തിലെ ഉപഭോക്താക്കൾക്ക് സ്വീകരിക്കാവുന്ന ചില മുൻകരുതലുകൾ താഴെ നൽകുന്നു:

• ശക്തമായ പാസ്‌വേഡുകൾ ഉപയോഗിക്കുക: എല്ലാ ഓൺലൈൻ അക്കൗണ്ടുകൾക്കും വ്യത്യസ്തവും സങ്കീർണ്ണവുമായ പാസ്‌വേഡുകൾ ഉപയോഗിക്കാൻ ശ്രമിക്കുക.
• ടു-ഫാക്ടർ ഓതന്റിക്കേഷൻ (2FA): സാധ്യമാകുന്നിടത്തെല്ലാം ടു-ഫാക്ടർ ഓതന്റിക്കേഷൻ എനേബിൾ ചെയ്യുക. ഇത് നിങ്ങളുടെ അക്കൗണ്ടിന് ഒരു അധിക സുരക്ഷാ കവചം നൽകും.
• വിശ്വസനീയമായ പ്ലാറ്റ്‌ഫോമുകൾ തിരഞ്ഞെടുക്കുക: ഓൺലൈനായി മരുന്ന് വാങ്ങുമ്പോൾ, സുരക്ഷാ സംവിധാനങ്ങളെക്കുറിച്ച് വ്യക്തമായ ധാരണ നൽകുന്ന വിശ്വസനീയമായ പ്ലാറ്റ്‌ഫോമുകൾ മാത്രം തിരഞ്ഞെടുക്കുക.
• അനാവശ്യ വിവരങ്ങൾ നൽകാതിരിക്കുക: രജിസ്റ്റർ ചെയ്യുമ്പോൾ ആവശ്യമുള്ള വിവരങ്ങൾ മാത്രം നൽകുക. അമിതമായ വ്യക്തിഗത വിവരങ്ങൾ ചോദിക്കുന്ന സൈറ്റുകളെ സംശയത്തോടെ കാണുക.
• ഇടയ്ക്കിടെ അക്കൗണ്ട് പരിശോധിക്കുക: നിങ്ങളുടെ ഓർഡർ ഹിസ്റ്ററിയും അക്കൗണ്ട് വിവരങ്ങളും ഇടയ്ക്കിടെ പരിശോധിച്ച് സംശയാസ്പദമായ എന്തെങ്കിലും ഇടപാടുകൾ നടന്നിട്ടുണ്ടോ എന്ന് ഉറപ്പുവരുത്തുക.

ഇന്ത്യയിലെ ഡാറ്റാ സുരക്ഷയുടെ ഭാവി

ദവാഇന്ത്യയുടെ സംഭവം ഒറ്റപ്പെട്ട ഒന്നല്ല. ഇന്ത്യ അതിവേഗം ഡിജിറ്റൽവൽക്കരിക്കപ്പെടുമ്പോൾ, ഡാറ്റാ സുരക്ഷ ഒരു വലിയ വെല്ലുവിളിയായി മാറുകയാണ്. സോട്ട ഹെൽത്ത്‌കെയർ പോലുള്ള കമ്പനികൾ അടുത്ത രണ്ടുവർഷത്തിനുള്ളിൽ 1500 പുതിയ സ്റ്റോറുകൾ കൂടി തുറക്കാൻ പദ്ധതിയിടുമ്പോൾ, അവരുടെ ഡിജിറ്റൽ അടിസ്ഥാന സൗകര്യങ്ങളുടെ സുരക്ഷ ഉറപ്പാക്കേണ്ടത് അത്യാവശ്യമാണ്.

ഇന്ത്യ അടുത്തിടെ പാസാക്കിയ ഡിജിറ്റൽ പേഴ്സണൽ ഡാറ്റാ പ്രൊട്ടക്ഷൻ ആക്ട് (DPDP Act) പോലുള്ള നിയമങ്ങൾ ഈ രംഗത്ത് വലിയ മാറ്റങ്ങൾ കൊണ്ടുവരുമെന്ന് പ്രതീക്ഷിക്കുന്നു. ഉപഭോക്താക്കളുടെ ഡാറ്റ സുരക്ഷിതമായി സൂക്ഷിക്കുന്നതിൽ കമ്പനികൾക്ക് കൂടുതൽ ഉത്തരവാദിത്തം നൽകുന്നതാണ് പുതിയ നിയമം. ഇത്തരം നിയമങ്ങൾ കർശനമായി നടപ്പിലാക്കുകയും, കമ്പനികൾ സുരക്ഷയ്ക്ക് കൂടുതൽ പ്രാധാന്യം നൽകുകയും ചെയ്താൽ മാത്രമേ ഭാവിയിൽ ഇത്തരം ഇന്ത്യൻ ഫാർമസി ഡാറ്റാ ചോർച്ച പോലുള്ള സംഭവങ്ങൾ ആവർത്തിക്കാതിരിക്കുകയുള്ളൂ.

ഉപഭോക്താക്കൾ എന്ന നിലയിൽ നമ്മളും ജാഗ്രത പാലിക്കണം. നമ്മുടെ സ്വകാര്യ വിവരങ്ങളുടെ വില തിരിച്ചറിഞ്ഞ് അത് സംരക്ഷിക്കാൻ ആവശ്യമായ നടപടികൾ സ്വീകരിക്കേണ്ടത് ഓരോ വ്യക്തിയുടെയും കടമയാണ്.