શું તમે જાણો છો કે લોકો કેવા-કેવા પાસવર્ડ રાખે છે? સ્ટ્રોંગ પાસવર્ડ કેવી રીતે બનાવવો જોઈએ? ખરાબ પાસવર્ડ બનાવવાથી શું-શું નુકસાન થઈ શકે છે? વિશ્વભરના ઇન્ટરનેટ યુઝરો દ્વારા ઉપયોગમાં લેવાતા પાસવર્ડ્સ અંગેનો NordPassનો એક રિપોર્ટ છે. આ રિપોર્ટના આધારે મિન્ટે 15 નવેમ્બર 2022 ના રોજ એક સ્ટોરી પ્રકાશિત કરી હતી. આ જ મુદ્દાને લઈને હાલ જાણીતી કંપની ‘BigBasket’ ચર્ચામાં છે.
તમને જાણીને નવાઈ લાગશે કે ભારતમાં 3.4 મિલિયન (34 લાખ)થી વધુ લોકોએ તેમનો પાસવર્ડ- ‘પાસવર્ડ’ (password) જ રાખ્યો છે. મતલબ ભારતના તમામ ઈન્ટરનેટ યુઝરોમાં સૌથી સામાન્ય પાસવર્ડ છે- ‘પાસવર્ડ’.
‘પાસવર્ડ’ પછી ભારતના લોકો દ્વારા સૌથી વધુ ઉપયોગમાં લેવાતો બીજો પાસવર્ડ ‘123456’ છે. આશ્ચર્યજનક રીતે આ યાદીમાં ‘BigBasket’ ચોથા ક્રમે છે. ઑનલાઇન ગ્રોસરી શોપની લોકપ્રિયતાને દર્શાવતા અહેવાલમાં દાવો કરવામાં આવ્યો છે કે તે ભારતમાં ચોથો સૌથી સામાન્ય પાસવર્ડ છે.
બિગબાસ્કેટે ઉત્સાહમાં કરી નાંખ્યો પ્રચાર
બિગબાસ્કેટે નોર્ડપાસે આ યાદી કેવી રીતે તૈયાર કરી તે જાણ્યા વિના જ તેના સત્તાવાર ટ્વિટર હેન્ડલ પર Mintનો રિપોર્ટ મૂકી દીધો હતો. કંપનીને આમાં ગર્વ કરવા જેવું લાગ્યું હશે. જોકે, તેમની ગણતરીઓ અવળી સાબિત થઇ કારણ કે રિપોર્ટની માહિતી ડેટા લીકની ઘટનાઓ પર આધારિત હતી.
Just found out that @bigbasket_com is using this for PR.
— Ravi Handa (@ravihanda) November 17, 2022
IDIOTS! pic.twitter.com/1N2dmWlD3r
ડિલીટ કરી દેવાયેલા ટ્વિટમાં BigBasket દ્વારા લખવામાં આવ્યું હતું કે, ‘તમારા પાર્ટનરનું નામ ‘પાસવર્ડ’ રાખવું ખોટું છે. અમારું નામ ‘પાસવર્ડ’ રાખવું યોગ્ય છે.’ જોકે, કોઈએ કહ્યું કે આમાં ગર્વ કરવા જેવું કશું નથી અને આ લિસ્ટનો અર્થ એ છે કે તેમના સર્વર એટલાં સુરક્ષિત નથી, ત્યારબાદ કંપનીએ ટ્વિટ ડિલીટ કરી નાંખ્યું હતું.
પાસવર્ડ્સ પર નોર્ડપાસ રિપોર્ટનો શું અર્થ છે?
ટ્વિટર યુઝર રવિ હાંડાએ આ મુદ્દે વિગતવાર એક થ્રેડ લખ્યો છે. હાંડાએ સૌથી વધુ ઉપયોગમાં લેવાતા પાસવર્ડ્સ પર રિપોર્ટ કેવી રીતે તૈયાર થયો તે સમજવા માટે નોર્ડપાસનો સંપર્ક કર્યો. ઇમેઇલ દ્વારા હાંડાએ નોર્ડપાસને ડેટાના સ્ત્રોત વિશે પૂછ્યું હતું.
I am sure by now you would have seen the list of “most common passwords of 2022”.
— Ravi Handa (@ravihanda) November 17, 2022
Probably you would have been surprised by seeing Bigbasket as no. 4 on the list. I sure was.
However, I would argue it is a matter of SHAME for BB and not pride. pic.twitter.com/OMeR8Vuvcc
જવાબમાં નોર્ડપાસે પુષ્ટિ કરી કે તેમણે સ્વતંત્ર સંશોધકો સાથે મળીને યાદી તૈયાર કરી છે, જેમણે 3 ટેરાબાઈટ ડેટાનો અભ્યાસ કર્યો હતો.
I am sure by now you would have seen the list of “most common passwords of 2022”.
— Ravi Handa (@ravihanda) November 17, 2022
Probably you would have been surprised by seeing Bigbasket as no. 4 on the list. I sure was.
However, I would argue it is a matter of SHAME for BB and not pride. pic.twitter.com/OMeR8Vuvcc
રસપ્રદ વાત એ છે કે, તેમણે સ્પષ્ટપણે જણાવ્યું કે તેમણે જે સ્વતંત્ર સંશોધકો સાથે કામ કર્યું તેઓ સાયબર સુરક્ષા નિષ્ણાતો હતા. વધુમાં, જ્યારે પૂછવામાં આવ્યું કે 3-TB ડેટા ક્યાંથી આવ્યો, ત્યારે જવાબમાં નોર્ડપાસે કહ્યું કે, તેઓ સ્ત્રોત જાહેર કરી શકતા નથી કારણ કે તેમણે સ્ત્રોત સાથે ‘નોન ડિસ્ક્લોઝર એગ્રીમેન્ટ (NDA)’ પર હસ્તાક્ષર કર્યા હતા. નોર્ડપાસે એ પણ ઉલ્લેખ કર્યો છે કે તેમની પાસે ઉપરોક્ત માહિતી એકત્રિત કરવા માટે કોઈપણ કંપની અથવા સર્વરના ડેટાબેઝની ઍક્સેસ નથી, જે સ્પષ્ટ કરે છે કે પાસવર્ડની યાદી લીક થયેલા ડેટામાંથી લેવામાં આવી છે.
વધુમાં મિન્ટના રિપોર્ટમાં સ્પષ્ટપણે કહેવામાં આવ્યું છે કે ‘પાસવર્ડ ડેટા’નું સંકલન સુરક્ષા નિષ્ણાતો દ્વારા કરવામાં આવેલા ડેટાના આધારે કરવામાં આવ્યું હતું. NordPass અનુસાર, આ વર્ષે સૌથી વધુ ઉપયોગમાં લેવાતા 200 પાસવર્ડમાંથી 73% ગયા વર્ષની જેમ જ હતા.
નોર્ડપાસ દ્વારા બનાવવામાં આવેલા પાસવર્ડ્સમાંથી લગભગ 83% પાસવર્ડ્સ એક સેકન્ડમાં જ ક્રેક થઈ શકે તેટલા સરળ હતા, જેમાં શબ્દ ‘પાસવર્ડ’ અને ‘123456’નો સમાવેશ થાય છે. રિપોર્ટમાં કહેવામાં આવ્યું છે કે ‘BigBasket’નો પાસવર્ડ તરીકે ઉપયોગ કરનારા યુઝર્સના પાસવર્ડ ક્રેક કરવામાં હેકર્સને લગભગ પાંચ મિનિટનો સમય લાગશે.
BigBasket અને 2020નો ડેટા સુરક્ષાનો મામલો
BigBasket સામે ઓક્ટોબર 2020માં પણ ડેટા ઉલ્લંઘન મામલે તપાસ થઇ ચૂકી છે. રિપોર્ટ અનુસાર લગભગ 20 મિલિયન યુઝર્સનો ડેટા કથિત રીતે લીક થયો હતો. એપ્રિલ 2021માં, શાઈનીહન્ટર્સ તરીકે ઓળખાતા હેકર જૂથે કથિત રીતે હેકર ફોરમ પર ડેટા મફતમાં જાહેર કર્યો હતો. હેકરે લખ્યું હતું કે ડેટા ફાઇલમાં યુઝર્સના ઈમેલ, પાસવર્ડ, નામ, ફોન નંબર, એડ્રેસ, ઓર્ડરની વિગતો અને અન્ય માહિતી હતી.
માહિતી સુરક્ષા ફર્મ Cyble Inc. દ્વારા આ ઉલ્લંઘનનો ખુલાસો કરવામાં આવ્યો હતો. અને 7 નવેમ્બર 2020 ના રોજ તેની વેબસાઇટ પર એક પોસ્ટ પ્રકાશિત કરી હતી. 1 નવેમ્બર 2020 ના રોજ, તેણે ‘BigBasket’ને ઉલ્લંઘન વિશે જાણ કરી. કંપનીએ તેને આ ભંગ જાહેર ન કરવા વિનંતી કરી હતી. સાયબલે તેમને ગ્રાહકોને આ બાબતની જાણ કરવાની સલાહ આપી હતી કારણ કે તેમને ઉલ્લંઘન વિશે જાણવાનો અધિકાર છે.
7 નવેમ્બર 2020 ના રોજ, સાયબલે ઉલ્લંઘન વિશે જાહેરમાં ખુલાસો કર્યો હતો. અને 9 નવેમ્બર 2020 ના રોજ, BigBasketએ સ્વીકાર્યું હતું કે ડેટા લીક થયો હતો. નોંધનીય છે કે માત્ર BigBasketનો જ ડેટા નહીં પરંતુ અન્ય કંપનીઓનો ડેટા પણ લીક થયો હતો (એટલે કે ચોરાઈ ગયો હતો). સાયબલને પાછળથી ખબર પડી કે આ પાછળ કુખ્યાત હેકર જૂથ શાઈનીહન્ટર્સનો હાથ હતો.
શક્ય છે કે કોમન પાસવર્ડ લિસ્ટને કમ્પાઈલ કરવા માટે ઉપયોગમાં લેવાતા લીક થયેલા ડેટામાં BigBasketમાંથી લીક થયેલો ડેટા પણ સામેલ હોય. બિગબાસ્કેટનો પાસવર્ડ તરીકે ઉપયોગ કરતા મોટાભાગના લોકો ઓનલાઈન સ્ટોરના ગ્રાહકો હોય તેવી ઉચ્ચ સંભાવના છે. અને તેમણે તેનો ઉપયોગ તેના BigBasket એકાઉન્ટ માટે કર્યો હશે.
ઑપઈન્ડિયાએ આ યાદી અંગે નોર્ડપાસનો સંપર્ક કર્યો છે. તેમનો જવાબ મળ્યે આ સમાચાર અપડેટ કરી દઈશું.
