Latest Marathi News- Breaking News Today | Read Marathi Batmya from Maharashtra, India ब्रेकींग मराठी न्यूज at https://loksatta.com/

अमृतांशु नेरुरकर amrutaunshu@gmail.com

व्यक्तीच्या संमतीविना तिची गोपनीय माहिती चोरण्याची कृती म्हणजे ‘आयडेंटिटी थेफ्ट’.. तिचे विविध प्रकार कोणते?

गेल्या महिन्यात एअर इंडियाने आपल्या ग्राहकांच्या वैयक्तिक माहितीचौर्याच्या घटनेची जाहीर वाच्यता केली व इतक्या मोठय़ा स्तरावर झालेल्या सायबर हल्ल्यामुळे ‘आयडेंटिटी थेफ्ट’ या व्यक्तिगत विदेच्या सुरक्षेला असलेल्या धोक्याची देशभरात प्रकर्षांने जाणीव झाली. एअर इंडियाच्या सव्‍‌र्हर्सवर झालेला हा हल्ला काही साधासुधा नव्हता. गेल्या दहा वर्षांत एअर इंडियाने प्रवास केलेल्या जगभरातील तब्बल साडेचार लाख प्रवाशांच्या वेगवेगळ्या प्रकारच्या खासगी माहितीवर (नाव, जन्मतारीख, पत्ता, पारपत्र क्रमांक, क्रेडिट कार्ड क्रमांक, प्रवासासंदर्भातील माहिती आदी) डल्ला मारण्यात आला होता.

अनधिकृत मार्गाने, वापरकर्त्यांच्या अनभिज्ञतेत त्यांच्याच वैयक्तिक माहितीची चोरी करून फसवणूक करण्याची ही काही पहिली घटना नव्हती. ग्राहकाभिमुख सेवा पुरवणाऱ्या विविध क्षेत्रांतील खासगी कंपन्या किंवा सरकारी आस्थापनांना अशा प्रकारच्या हल्ल्यांना विशेषत: तोंड द्यावे लागले आहे. कारण वापरकर्त्यांच्या वैयक्तिक माहितीचा विशाल साठा या संस्था स्वत:जवळ बाळगून असतात. वित्तीय क्षेत्रातील सिटी बँक, बँक ऑफ अमेरिका यांसारख्या दिग्गज बँका, प्रवासी वाहतूक क्षेत्रातील कॅथे पॅसिफिक एअरवेज, ब्रिटिश एअरवेज यांसारख्या विमान कंपन्या, आदरातिथ्य क्षेत्रातील हिल्टन, हयात, मॅरियट यांसारखी पंचतारांकित हॉटेल्स, टी-मोबाइलसारख्या दूरसंचार क्षेत्रातील कंपन्या, नागरिकांची संवेदनशील माहिती आपापल्या विदागारांमध्ये (डेटाबेस) साठवणाऱ्या जगातील जवळपास सर्व विकसित व विकसनशील देशांतील शासकीय आस्थापना आणि फेसबुक, गूगल, ट्विटर, स्नॅपचॅट, मायक्रोसॉफ्ट, अ‍ॅपल अशा सर्वच आघाडीच्या डिजिटल व समाजमाध्यमी कंपन्या, या ‘आयडेंटिटी थेफ्ट’ सायबर हल्ल्याच्या किमान एकदा तरी शिकार बनल्या आहेत. एका अंदाजानुसार, २०२० या केवळ एका वर्षांत जगभरातील १८ कोटी लोक प्रत्यक्ष वा अप्रत्यक्षपणे या हल्ल्याला बळी पडलेत आणि यामुळे जवळपास ५,६०० कोटी अमेरिकी डॉलर्सचा अगडबंब आर्थिक फटका कंपन्यांबरोबरच आपल्यासारख्या सामान्यांना सहन करावा लागला आहे.

म्हणूनच वैयक्तिक माहितीच्या सुरक्षेसाठी ‘आयडेंटिटी थेफ्ट’ या संकल्पनेला व त्याच्या विविध पद्धतींना अभ्यासणे जरुरी आहे. पूर्वापार आपल्याला सेवा देणाऱ्या विविध संस्थांना (बँक, रुग्णालये, शासकीय आस्थापना आदी) आपण आपली वैयक्तिक माहिती पुरवत असतो, ज्यात आपली विशिष्ट ओळख पटवणाऱ्या (उदा. आधार क्रमांक, क्रेडिट कार्ड क्रमांक इत्यादी) गोपनीय व संवेदनशील दस्तावेजांचाही समावेश असतो. जोपर्यंत हे व्यवहार कागदपत्रांद्वारे चालत होते तोवर आपल्या गोपनीय माहितीच्या सुरक्षेची हमी देणे या सेवादात्या संस्थांना बऱ्याच अंशी शक्य होते.

आंतरजालाच्या (इंटरनेट) सार्वत्रिकीकरणानंतर आणि सेल्युलर स्मार्टफोनच्या उदयानंतर मात्र सगळे संदर्भ बदलले. डिजिटल ई-व्यवहारांना प्राधान्य मिळायला लागल्यानंतर सर्व क्षेत्रांतील आस्थापनांना आपापल्या ग्राहकांच्या वैयक्तिक माहितीची व त्यांनी केलेल्या प्रत्येक व्यवहाराची नोंद त्यांच्या मध्यवर्ती विदागारांमध्ये (डेटाबेस) करणे क्रमप्राप्त बनले. समाजमाध्यमांच्या उदयानंतर वापरकर्त्यांना वैयक्तिक स्वरूपाच्या माहितीची अविरत निर्मिती करणे सहजशक्य झाले. समाजमाध्यमांवरची माहिती ही पूर्वीसारखी केवळ ‘टेक्स्ट’ किंवा मजकूर स्वरूपात नव्हती, तर तिची विविध प्रकारांत (छायाचित्र, दृक्मुद्रण, ई-दस्तावेज आदी) देवाणघेवाण व साठवण करता येत होती. एवढेच नव्हे, तर तिच्या निर्मितीचा वेग अतिप्रचंड असल्यामुळे तिच्या साठवणुकीसाठी अजस्र आकाराचे डेटाबेस बनायला लागले, ज्यांच्यासाठी ‘बिग डेटा’ हा शब्दप्रयोग वापरला जाऊ लागला.

अशा विशाल आकाराचा आणि वापरकर्त्यांची/ ग्राहकांची अद्ययावत वैयक्तिक माहिती तपशीलवार साठवणारा ‘बिग डेटा’ हा जणू सोन्याची खाणच होता. त्यामुळेच त्यातील सुरक्षाविषयक त्रुटी हेरून त्यामधील माहिती अनधिकृतपणे लंपास करण्याचे व त्यातून आर्थिक लाभ उकळण्याचे प्रयत्न हॅकर समुदायाकडून, डेटाबेसची सुरक्षा प्रणाली तयार करणाऱ्या तंत्रज्ञान कंपन्यांकडून, तर काही वेळा तंत्रज्ञांची मदत घेऊन दहशतवादी संघटना किंवा शत्रूराष्ट्रांकडूनही होऊ लागले. व्यक्तीच्या संमतीविना तिच्या गोपनीय माहितीची चोरी करण्याच्या याच कृतीला ‘आयडेंटिटी थेफ्ट’ असे म्हणतात.

अमेरिकेच्या सामाजिक न्याय विभागाने, ‘आयडेंटिटी थेफ्ट’ या संज्ञेला दोन प्रकारांत विभागलेय : (१) आपल्या व्यक्तिगत माहितीचा वापर नवी बँक खाती उघडणे, कर्ज काढणे अशा गोष्टींसाठी करायचा. अर्थात, यातून हाती आलेले पैसे हे ‘डिजिटल चोर’ परस्पर खर्च करून टाकतात, पण त्याचे हफ्ते फेडण्याची जबाबदारी मात्र आपल्या गळ्यात येऊन पडते. (२) आजकाल सर्रास आढळणाऱ्या या प्रकारांत, हाती आलेल्या आपल्या क्रेडिट कार्ड, डेबिट कार्ड किंवा नेट बँकिंगसंदर्भातील माहितीचा उपयोग करून परस्पर पैसे काढले जातात किंवा ई-कॉमर्स संस्थळांवर खर्च केले जातात.

मात्र, वरील दोन प्रकार ‘आयडेंटिटी थेफ्ट’ची संपूर्ण व्याप्ती स्पष्ट करत नाहीत. या दोन्ही प्रकारांत मानसिक व आर्थिक फटका बसत असला तरीही, ते थोडय़ाच वेळात उघडकीस येतात. आपण न केलेल्या व्यवहाराचा आलेला ई-मेल वा लघुसंदेश (एसएमएस) आपल्याला अशा फसवणुकीबद्दल सतर्क करू शकतो. तसेच आपल्या क्रेडिट वा डेबिट कार्ड खात्याचा हिशोब तपासताना असे फसवणुकीचे व्यवहार उघडकीस येऊ शकतात व त्यानुसार आपण योग्य ती कार्यवाही करू शकतो. पण माहितीचौर्याचे काही हल्ले इतक्या सूक्ष्म स्तरावर केले जातात की, त्यास बळी पडणाऱ्या व्यक्तीला त्याची बराच काळ जाणीवही होत नाही.

‘फिशिंग’ हा प्रकार आता बऱ्याच जणांना माहिती झाला आहे. सामान्यत: यात आपण दैनंदिन व्यवहार करत असलेल्या सेवादात्या कंपनीकडून (बँक, ई-कॉमर्स संस्थळ) आपल्याला एक ई-मेल आल्याचे भासवले जाते. कोणत्यातरी योजनेत तुम्ही भाग्यवान विजेते ठरला असून ई-मेलमध्ये दिलेल्या ‘लिंक’वर जाऊन काही माहिती त्वरित भरण्याची विनंती आपल्याला केली जाते. काही वेळेला बँकेची सेवा सुरळीत चालू ठेवण्यासाठी काही माहिती तातडीने भरण्याची विनंतीवजा आज्ञा केली जाते. यात मेख एवढीच असते की, आलेला ई-मेल हा ‘अधिकृत’ स्रोताकडून आल्यासारखा भासत असला तरी तो खरा ‘ट्रोजन हॉर्स’च असतो. आपल्याला गोंधळात टाकून किंवा घाबरवून आपली गोपनीय वैयक्तिक माहिती मिळवणे एवढाच यामागचा उद्देश असतो.

फिशिंगची सुधारित आणि समजायला अधिक कठीण व म्हणूनच हानीकारक आवृत्ती म्हणजे ‘स्पीअरफिशिंग’! यात हल्लेखोर समाजमाध्यमांवरून आपल्याबद्दल मिळालेल्या माहितीचा वापर करून आपल्याला एक वैयक्तिकृत ई-मेल पाठवतात. उदाहरणार्थ, फेसबुक किंवा तत्सम समाजमाध्यमी व्यासपीठावरून आपल्या परिचयाची व्यक्ती काही खासगी कारणांसाठी आपल्याकडून काही पैशांची किंवा इतर माहितीची तातडीने मागणी करत आहे असे भासवले जाते. त्या व्यक्तीवर आपला विश्वास असल्याने आपण अशा ई-मेलची सत्यता पडताळून बघण्याच्या फंदात पडत नाही आणि त्यांच्या मागणीला बळी पडतो.

वरील दोन्ही प्रकारांत हल्लेखोरांचे यश हे वापरकर्ता आलेल्या ई-मेलला किती गंभीरपणे घेतो यावर अवलंबून आहे. काही प्रमाणात जनजागृती झाल्यामुळे फिशिंग हल्ल्याची परिणामकारकता कमी होऊ लागली आहे. ‘कोरिलेशन अटॅक’ हा प्रकार मात्र वापरकर्त्यांशी प्रत्यक्ष संवाद न साधता त्याची माहिती मिळवण्यासाठी पुष्कळदा वापरतात. बऱ्याचदा ‘बिग डेटा’ साठवताना मुख्य डेटाबेस हा निनावी पद्धतीने जतन केला जातो, ज्यामुळे विदा चोरीला गेली तरी तिचा ‘कर्ता’ कोण हे अज्ञात राहील. कोरिलेशन अटॅकमध्ये विविध सार्वजनिक स्रोतांतून मिळालेल्या माहितीचा वापर करून अशा निनावी वैयक्तिक माहितीला व्यक्तिनिष्ठ स्वरूपात बदलण्याचा प्रयत्न केला जातो, ज्याला डेटाबेसचे ‘डी-अ‍ॅनॉनिमायजेशन’ असे म्हटले जाते.

काही वर्षांपूर्वी लोकप्रिय ओटीटी प्लॅटफॉर्म नेटफ्लिक्सने त्यावर दाखवल्या जात असलेल्या चित्रपटांना गुणांकन देणाऱ्या पाच लाख वापरकर्त्यांच्या निनावी डेटाबेसला डी-अ‍ॅनॉनिमाइज करण्यासाठी १० लाख अमेरिकी डॉलर्सची पैज लावली होती. भारतीय वंशाच्या व अमेरिकेत टेक्सास विद्यापीठात संगणक अभियांत्रिकीचे अध्ययन करणाऱ्या अरविंद नारायणन या विद्यार्थ्यांने संगणकीय अल्गोरिदम्सच्या मदतीने काही आठवडय़ांतच ही पैज जिंकून दाखवली होती. संपूर्णत: निनावी स्वरूपात साठवली गेलेली माहितीदेखील जराही सुरक्षित नाही हेच यातून अधोरेखित होते.

आंतरजालावर विदासुरक्षा आणि गोपनीयतेच्या उल्लंघनांचे विविध प्रकार गेल्या काही लेखांत पाहिले. आंतरजालावर सुरक्षित वावरासाठी सजग वापरकर्ता म्हणून आपण काय पथ्ये पाळायला हवीत, याचा ऊहापोह पुढील लेखात करू या.

लेखक माहिती व तंत्रज्ञान क्षेत्रातील ओपन सोर्स, विदासुरक्षा व गोपनीयता तसेच डिजिटल परिवर्तन या विषयांचे अभ्यासक आहेत.