कैलिफोर्निया स्थित पहचान सत्यापन कंपनी आईडीमेरिट से जुड़े एक बड़े पैमाने के डेटा उल्लंघन ने 26 देशों के नागरिकों के एक अरब से अधिक व्यक्तिगत रिकॉर्ड उजागर कर दिए हैं, साइबरन्यूज की साइबर सुरक्षा अनुसंधान टीम द्वारा प्रकाशित एक जांच के अनुसार। शोधकर्ताओं ने एक असुरक्षित मोंगोडीबी डेटाबेस की खोज की जिसमें लगभग एक टेराबाइट संवेदनशील केवाईसी (नो योर कस्टमर) डेटा था, जो बिना किसी पासवर्ड सुरक्षा के इंटरनेट पर स्वतंत्र रूप से उपलब्ध था।
उजागर रिकॉर्ड में पूरे नाम, जन्मतिथि, राष्ट्रीय पहचान संख्या, भौतिक पते, पिन कोड, फोन नंबर, ईमेल पते, लिंग जानकारी, दूरसंचार मेटाडेटा और सामाजिक प्रोफाइल एनोटेशन शामिल हैं। संयुक्त राज्य अमेरिका लगभग 203 मिलियन उजागर रिकॉर्ड के साथ सबसे अधिक प्रभावित देश है, इसके बाद मेक्सिको 124 मिलियन, फिलीपींस 72 मिलियन, जर्मनी 61 मिलियन, और इटली तथा फ्रांस प्रत्येक 53 मिलियन रिकॉर्ड के साथ हैं। चीन और ब्राजील सहित 20 अतिरिक्त देशों के नागरिक भी इस उल्लंघन से प्रभावित हुए।
आईडीमेरिट बैंकों, फिनटेक कंपनियों और अन्य संगठनों को एपीआई-आधारित पहचान सत्यापन और धोखाधड़ी रोकथाम सेवाएं प्रदान करती है जो कानून द्वारा केवाईसी अनुपालन प्रक्रियाओं के माध्यम से अपने ग्राहकों की पहचान सत्यापित करने के लिए बाध्य हैं। साइबर सुरक्षा विशेषज्ञों ने उजागर डेटा की संरचित प्रकृति को अपराधियों के लिए सोने की खान बताया है, यह देखते हुए कि राष्ट्रीय पहचान संख्या, जन्मतिथि और पूर्ण व्यक्तिगत प्रोफाइल का संयोजन पहचान चोरी, क्रेडिट धोखाधड़ी, सिम स्वैपिंग हमलों और परिष्कृत फिशिंग अभियानों के लिए आदर्श स्थितियां बनाता है।
साइबरन्यूज अनुसंधान टीम ने 11 नवंबर 2025 को असुरक्षित डेटाबेस की खोज की और तुरंत आईडीमेरिट को सूचित किया। कंपनी ने अगले दिन 12 नवंबर को उजागर इंस्टेंस को सुरक्षित कर लिया। हालांकि, यह स्पष्ट नहीं है कि खोज से पहले डेटाबेस कितने समय तक सार्वजनिक रूप से सुलभ रहा, जिससे यह गंभीर चिंता उत्पन्न होती है कि दुर्भावनापूर्ण तत्वों ने पहले ही डेटा तक पहुंच बना ली हो और उसकी प्रतिलिपि बना ली हो। आईडीमेरिट ने इस घटना के बारे में विस्तृत जानकारी सार्वजनिक रूप से साझा नहीं की है।
इस उल्लंघन ने केवाईसी प्रदाताओं की सुरक्षा प्रथाओं पर बहस को फिर से प्रज्वलित किया है, जो वैश्विक वित्तीय प्रणाली में महत्वपूर्ण बुनियादी ढांचा बन गए हैं। दुनिया भर की सरकारें और नियामक बैंकों, क्रिप्टोकरेंसी एक्सचेंजों और डिजिटल प्लेटफार्मों से अपने उपयोगकर्ताओं की पहचान सत्यापित करने की मांग करते हैं, जिससे विशाल मात्रा में संवेदनशील व्यक्तिगत डेटा तृतीय-पक्ष सत्यापन कंपनियों की ओर प्रवाहित होता है। साइबर सुरक्षा विश्लेषकों ने चेतावनी दी है कि इस उल्लंघन के परिणाम वर्षों तक सामने आ सकते हैं, क्योंकि चुराए गए पहचान डेटा का मूल्य प्रारंभिक उजागरी के बाद लंबे समय तक बना रहता है। विशेषज्ञों ने आईडीमेरिट से सत्यापित सेवाओं का उपयोग करने वाले सभी लोगों से अपने वित्तीय खातों की बारीकी से निगरानी करने और दो-कारक प्रमाणीकरण सक्रिय करने का आग्रह किया है।
टिप्पणियाँ