കേരളത്തിലെ ഒരു പ്രമുഖ സ്ഥാപനത്തിലെ ഐടി സുരക്ഷാ വീഴ്ച

കേരളത്തിലെ ഒരു പ്രമുഖ കമ്പനി, ലക്ഷക്കണക്കിന് ഉപയോക്താക്കൾ ഉള്ള ഒരു സർവീസ് നൽകുന്ന കമ്പനി...

അവരുടെ സിസ്റ്റം പെട്ടെന്ന് തകർത്ത് അകത്ത് കയറാൻ പറ്റുന്ന അവസ്ഥയിൽ ആണെങ്കിലോ?

അങ്ങനെ ഒന്ന് ശ്രദ്ധയിൽ പെട്ടു. അകത്ത് കയറി നോക്കി.

ഉപയോക്താവിൻ്റെ വിവരങ്ങൾ മുഴുവൻ, "കൊണ്ടുപോയ്ക്കോ" എന്ന രീതിയിൽ കിടക്കുന്നു.

ഒരാളുടെയല്ല... എല്ലാവരുടെയും.

3 ലക്ഷത്തോളം ആളുകളുടെയും സ്ഥാപനങ്ങളുടെയും പൂർണ്ണ വിവരങ്ങൾ... കെട്ടിട നമ്പർ അടക്കം.

ഇന്ന് അവരുടെ ഓഫീസിൽ പോയി ഈ വിവരം പറയാം എന്നാണ് ആലോചന.

ആ സ്ഥാപനത്തിന്റെ ആളുകൾക്ക് മനസ്സിലായി അവരെക്കുറിച്ചാണ് എഴുതിയത് എന്ന്.

അങ്ങോട്ട് പോയി പറയും മുന്നേ തന്നെ.

ഒരു നിവിൻ പോളി സിനിമയിൽ അടി കൊള്ളേണ്ടുന്ന ആളുകളുടെ ലക്ഷണം പറയുന്നത് ഓർത്തു പോയി.

ഇവനിട്ട് രണ്ടെണ്ണം കൊടുക്കണം എന്ന് നമുക്ക് മാത്രം തോന്നിയാൽ പോരാ, കാണുന്നവർക്ക് കൂടി തോന്നണം.

അതുംപോരാതെ അവനുകൂടി തോന്നണം, "എനിക്ക് രണ്ടെണ്ണത്തിന്റെ കുറവ് ഉണ്ടായിരുന്നല്ലോ?" എന്ന്.

ആ പറഞ്ഞപോലെ ആണ് ആ സ്ഥാപനത്തിന്റെ അവസ്ഥ. തലപ്പത്ത് ഇരിക്കുന്നവർക്ക് തന്നെ അറിയാം ഇങ്ങനൊക്കെ പ്രശ്നങ്ങൾ ഉണ്ടെന്ന്. എന്നിട്ടും ഒന്നും ചെയ്തിട്ടില്ല.

"ദേ... അത് ചെയ്യാനായി വീട്ടിൽ നിന്നും ഇറങ്ങാൻ നിൽക്കുക ആയിരുന്നു." എന്ന ലൈനിലാണ് അവരുടെ മറുപടി.

ഇത്രയും സീരിയസ് ആയ ഒരു കാര്യം പറഞ്ഞിട്ട്, "തിങ്കളാഴ്ച കാണാം" എന്നാണ് മറുപടി.

അത്രേയുള്ളൂ ചൂട്.

ഞാൻ ആയിരുന്നു പുള്ളിയുടെ സ്ഥാനത്ത് എങ്കിൽ കിട്ടുന്ന വണ്ടിയും പിടിച്ച് ഇപ്പൊ തന്നെ ആളെ കണ്ട് സംസാരിക്കാൻ ഇറങ്ങിയേനെ.

കൂടുതൽ വിവരങ്ങൾ വഴിയേ അറിയിക്കാം.

ഇപ്പോഴാണ് ശ്രദ്ധിച്ചത്.

സ്ഥാപനത്തിൽ നിന്നും എനിക്ക് ഇന്നൊരു ഇമെയിൽ സന്ദേശം വന്നിരുന്നു.

കുറെ വർഷങ്ങളായി കാര്യമായി ഉപയോഗിക്കാത്ത ഒരു ഇമെയിൽ ഐഡി ആയതുകൊണ്ട് കാണാൻ വൈകി.

ആ കമ്പനിയുടെ സെക്രട്ടറി എന്ന് പരിചയപ്പെടുത്തി ആണ് ഇമെയിൽ. എന്റെ എഴുത്തിന്റെ സ്ക്രീൻഷോട്ടും ഉൾപ്പെടുത്തിയിട്ടുണ്ട്. ഉള്ളടക്കം ഇതാണ്:

“ഈ കുറിപ്പിൽ പറഞ്ഞിരിക്കുന്നത് ഞങ്ങളുടെ കമ്പനിയായ {കമ്പനിയുടെ പേര്} അല്ല എന്ന് കൺഫേം ചെയ്യാമോ?”

മറുപടി കൊടുത്തു:

“ഹേയ്! ഒരിക്കലുമല്ല.”

ഓക്കേ. ബൈ.

എന്റെ മൊബൈൽ നമ്പർ കൈവശം ഉണ്ടായിരുന്നിട്ടും ഇമെയിൽ അയച്ച അത്ര ഗൗരവത്തോടെ പ്രവർത്തിക്കുന്ന ജാഗരൂകരോട് മറ്റെന്ത് പറയാൻ.

ഇന്നലെ രാവിലെ 08:36നാണ് ഞാൻ ആ വിവരം ആദ്യമായി പങ്കുവെച്ചത്. ഏകദേശം 11 മണിയോടെ ആ സ്ഥാപനത്തിൽ ഉള്ളവർ തിരിച്ചറിഞ്ഞു, അത് അവരുടെ സ്ഥാപനത്തെ കുറിച്ചാണ് എന്ന്.

അവരുടെ ആളുകൾക്ക് ഞാൻ തന്നെ ഒരു കൺഫർമേഷൻ ഇന്നലെ വൈകുന്നേരം 5 മണിയോടെ നൽകി.

ഇപ്പൊ ഏകദേശം 35 മണിക്കൂർ ആയിട്ടുണ്ടാകും.

മറ്റൊരു സ്ഥാപനം ആയിരുന്നെങ്കിൽ ഈ സമയത്തിനുള്ളിൽ എന്തൊക്കെ സംഭവിച്ചിരിക്കും?

• അതിന്റെ ആളുകൾ എന്നെ contact ചെയ്യും.
• പ്രശ്നങ്ങൾ എന്തൊക്കെയെന്ന് മനസ്സിലാക്കും.
• ബന്ധപ്പെട്ടവരുമായി സംസാരിക്കും.
• എത്രയും പെട്ടെന്ന് ആ അപാകത പരിഹരിക്കും.
• ഒരു സ്റ്റെപ്പ് കൂടി വേണമെങ്കിൽ ഉൾപ്പെടുത്താം. ബന്ധപ്പെട്ട സേവനം താത്കാലികമായി നിർത്തിവെക്കുകയോ ലിമിറ്റ് ചെയ്യുകയോ ചെയ്യാം.

അല്ലേ? അതേയെന്നാണോ മറുപടി?

എന്നാൽ നിങ്ങൾക്ക് തെറ്റി.

അവരുടെ പോസ്റ്റിൽ ഉണ്ടായിരുന്നല്ലോ ഓഫിസിൽ വന്ന് സംസാരിക്കാം എന്ന്? അതുകൊണ്ട് ഞങ്ങൾ വെയിറ്റ് ചെയ്തു.

എന്നിട്ടോ?

അവർ ഇന്നലെ ഓഫിസിൽ വരാത്തത് കൊണ്ട് ഇന്ന് അവരെ അങ്ങോട്ട് പോയി കാണാം എന്ന് പറഞ്ഞു.

എന്നിട്ട് അവരെ കണ്ടോ?

ഇല്ല. അവരിങ്ങോട്ട് വരാമെന്ന് പറ്റിച്ചില്ലേ? അതുകൊണ്ട് ഞങ്ങളും തിരിച്ച് പോകാതെ പറ്റിച്ചു.

അടിപൊളി. ബാ പൂവാം.

മറ്റൊരു വിവരം കൂടി അറിയാൻ കഴിഞ്ഞു.

സ്ഥാപനത്തിൽ നിന്നും മുകളിലേക്ക് കൊടുത്ത റിപ്പോർട്ട്, "സുകന്യ പറയുന്ന അത്ര സീരിയസ്‌നെസ് വിഷയത്തിനില്ല" എന്നാണ് എന്ന് അറിയാൻ കഴിഞ്ഞു.

ഒരുപക്ഷേ, ഞാൻ ഇന്നലെ പറഞ്ഞതിലെ ഒരു അപാകത ആകാം അവർ അങ്ങനെ ചിന്തിക്കാൻ കാരണം.

മൂന്ന് ലക്ഷം ഉപയോക്താക്കൾ എന്നായിരുന്നു ഞാൻ പറഞ്ഞിരുന്നത്. ചിലപ്പോ അതാകാം ഞാൻ പറഞ്ഞ വിഷയം സീരിയസ് അല്ല എന്ന് തോന്നാൻ അവരുടെ കാരണം.

അതൊരു ഊഹ കണക്ക് ആണ് എന്നാണ് വാദം. ശരിയാണ്. അത് ഞാൻ ഊഹിച്ചതാണ്. ആ സമയത്ത് മൊത്തം എത്ര ഉപയോക്താക്കൾ ഉണ്ടെന്ന് ഉറപ്പ് വരുത്താൻ ഞാൻ ആ ഡാറ്റ കൗണ്ട് നോക്കിയില്ല.

ശരിക്കുള്ള സംഖ്യ, ~20,20,563 എന്നാണ്. (18,222 എന്ന നമ്പറിൽ നിന്നുമാണ് ഉപയോക്താക്കളുടെ ഡാറ്റ തുടങ്ങുന്നത്.)

അതായത് 20 ലക്ഷത്തിലധികം പേരുടെ വിവരങ്ങൾ ആണ് compromise ആയിരിക്കുന്നത്.

ഇത്രയും ആളുകളുടെ വിവരങ്ങളും ആ സേവനത്തിൻ്റെ ഉപയോഗവും അപകടത്തിലാണെന്ന് പറഞ്ഞിട്ടും അവർക്കൊരു ചൂടില്ല എങ്കിൽ, ഇനി അവരുടെ ഭാഗത്ത് നിന്ന് അത് ശരിയാക്കുന്നതും നോക്കി ഇരിക്കുന്നതിൽ അർത്ഥമില്ല.

നാളെ ഉച്ചയ്ക്ക് 12 മണി മുതൽ ബാധിക്കപ്പെട്ട സർക്കാർ സ്ഥാപനങ്ങളുടെയും ധനകാര്യ സ്ഥാപനങ്ങളെയും ഇമെയിൽ വഴി വിവരമറിയിക്കും.

തുടർന്ന് കേന്ദ്ര സർക്കാരിൻ്റെ റഗുലേറ്ററി ബോഡിയെയും വിവരമറിയിക്കും, ഒപ്പം സ്ഥാപനത്തിൻ്റെ പേരും പരസ്യപ്പെടുത്തും.

ഇത്രയും ആളുകളുടെ സ്വകാര്യതയ്ക്ക് പുല്ല് വില നൽകുന്ന ഒരു സ്ഥാപനത്തിൽ നിന്നും കൂടുതൽ ഒന്നും പ്രതീക്ഷിക്കുന്നില്ല.

ഇപ്പോൾ നിശ്ചിത സമയപരിധി കഴിഞ്ഞ സ്ഥിതിക്ക് വിവരങ്ങൾ പബ്ലിഷ് ചെയ്യാം എന്ന് കരുതുന്നു.

തമാശ ആയിട്ടാണെങ്കിലും "തേങ്ങ ഉടയ്ക്ക് സ്വാമീ" മെസ്സേജുകളും കമൻ്റുകളും ധാരാളമായി ലഭിക്കുന്നുണ്ട്.

അങ്ങനെ ചാടി കയറി തേങ്ങ ഉടയ്ക്കാത്തത് വിഷയം അത്ര തമാശ അല്ല എന്നത് കൊണ്ടാണ്.

കേരള ഹൈക്കോടതി വരെ ഉപയോഗിക്കുന്ന ഒരു സേവനം ആണ് തുലാസിൽ എന്നതാണ് ഭയപ്പെടുത്തുന്ന വസ്തുത.

ഇത്രയും വലിയ ഒരു സുരക്ഷാ വീഴ്ച പുറത്ത് വിട്ട്, അവരത് അറിഞ്ഞ ശേഷം 48 മണിക്കൂറിലധികം കഴിഞ്ഞിരിക്കുന്നു.

ഇതിനിടയിൽ എൻ്റെ ഈഗോയെ തൊട്ട് പല തവണ കളിച്ചു. അപ്പോഴും വാശിപ്പുറത്ത് ഒന്നും ചെയ്യാതെ ഇരുന്നത്, വിഷയത്തിൻ്റെ ഗൗരവം എത്രയെന്ന് കൃത്യമായി മനസ്സിലാകുന്നത് കൊണ്ടാണ്.

ഞാൻ പറയുന്നത് വെറുതെയാണ്. അങ്ങനെയുള്ള വീഴ്ചകൾ ഒന്നും തന്നെയില്ല എന്ന ഭാവത്തിലാണ് ഇതുവരെ സ്ഥാപനത്തിൻ്റെ അധികാരികൾ പെരുമാറിയത്.

എന്നാൽ ഒരു ഉദാഹരണം പറയട്ടെ…

ഇവർ expose ചെയ്ത് വെച്ചിരിക്കുന്നത്, ഏകദേശം 20 ലക്ഷം ഉപഭോക്താക്കളുടെ വിവരങ്ങളാണ്.

1. ഇത് ഒരു ഇൻ്റർനെറ്റ് സർവീസ് പ്രൊവൈഡർ ആണെന്ന് സങ്കൽപ്പിക്കുക.
2. നമ്മുടെ രാജ്യത്തിനെതിരെ സൈബർ ആക്രമണം നടത്താൻ ഏതെങ്കിലും ഒരു രാജ്യം ആഗ്രഹിക്കുന്നു എന്ന് കരുതുക.
3. അങ്ങനെയുള്ളവരുടെ കയ്യിൽ ഈ വിവരം ലഭിച്ചു എന്ന് കരുതുക.
4. ഈ വിവരങ്ങളിൽ ഉപഭോക്താവിൻ്റെ റൗട്ടർ MAC ID ഉണ്ടെന്ന് സങ്കൽപ്പിക്കുക.
5. സാധാരണ ഗതിയിൽ അതുതന്നെയാണ് റൗട്ടർ പാസ്‌വേഡ് എന്ന് സങ്കൽപ്പിക്കുക.
6. ഈ വിവരങ്ങൾ ചോർന്ന് കിട്ടുന്നവർക്ക് കസേര വലിച്ചിട്ട് ആ കണക്ഷനിൽ കയറി ഇരിക്കാൻ സാധിക്കുമെന്ന് മനസ്സിലാക്കുക.
7. അങ്ങനെ കസേര വലിച്ചിട്ട് ഇരിക്കുന്നത്, ഒരു ധനകാര്യ സ്ഥാപനത്തിൻ്റെ ഡിവൈസിൽ ആണെങ്കിലോ?
8. അങ്ങനെ കസേര വലിച്ചിട്ട് ഇരിക്കുന്നത് ഈ നാട്ടിലെ ഹൈക്കോടതിയുടെ കണക്ഷണിൽ ആണെങ്കിലോ?

ഇനി ഇതൊന്നും സാങ്കൽപ്പികം അല്ലെങ്കിലോ?

ഒന്ന് പോയേ... അങ്ങനൊന്നും ഞങ്ങളുടെ ഉപഭോക്താക്കളുടെ ഡിവൈസ് അഡ്രസ്സ് ഒന്നും കിട്ടില്ല. "സുകന്യ ഇതൊക്കെ exaggerate ചെയ്ത് പറയുന്നതാണ് മുതലാളീ" എന്നാണ് ഇവിടുന്ന്

മുകളിലേക്ക് കൊടുത്തിട്ടുള്ള വിവരം.

എങ്കിൽ…

നിങ്ങളുടെ ഡേറ്റാബേസിലെ ആദ്യ കസ്റ്റമറുടെ മാക് ഐഡി 75:72 എന്നല്ലേ അവസാനിക്കുന്നത്?