BTC
$0.00
0.00%
मैंने कभी नहीं सोचा था कि एक साधारण शाम एक जासूसी कहानी में बदल जाएगी जो बाद में दुनिया भर में प्रसिद्ध हो जाएगी। एक कहानी जो बहुत अजीब है, लेकिन साथ ही बहुत सरल भी, जिसे मुझे पहले कंपनी के सुरक्षा कर्मचारियों को बताना पड़ा, और अब आपको।
इसके अलावा, यह कल्पना करना मुश्किल नहीं है कि अगर मेरे सॉफ्टवेयर को प्रमाणीकरण पास करने के बाद, दुनिया भर के क्रिप्टो वॉलेट की कुंजियों तक अप्रत्याशित रूप से पहुंच मिल जाती — ठीक वैसे ही जैसे रोबोट वैक्यूम क्लीनर करते हैं। तो मैं न केवल डेटा देख सकता था, बल्कि दुनिया भर के अजनबियों के धन को भी नियंत्रित कर सकता था। लेकिन मैं आपको सब कुछ क्रम से बताता हूँ।
मैं अपने कमरे में अपने नए DJI रोमो वैक्यूम क्लीनर को समझने की कोशिश कर रहा था, जो ड्रोन तकनीक (LiDAR, बाइनोक्युलर विजन) और वीडियो निगरानी को जोड़ता है। सीधे शब्दों में कहें तो, मैं सफाई करने के बजाय थोड़ी मस्ती करना चाहता था। और जब मैंने अपना वैक्यूम क्लीनर चालू किया, तो मेरे सामने एक दूसरे डिवाइस का डेटा आ गया। और फिर एक और, और एक और। कुछ ही मिनटों में, मैं दुनिया भर के 6,700 रोबोट देख सकता था, जिनमें से प्रत्येक का अपना सीरियल नंबर, आईपी पता, बैटरी की स्थिति, और यहां तक कि परिसर का नक्शा भी था। दूसरे शब्दों में, मुझे हजारों अन्य लोगों के घरों और उनके कैमरों तक पहुंच प्राप्त हो गई थी।
एक समय पर, मैं एशिया, यूरोप, उत्तरी अमेरिका और अन्य जगहों पर सैकड़ों अपार्टमेंटों में एक अदृश्य पर्यवेक्षक बन गया था।
हालांकि मैंने जानबूझकर इन रोबोटों को हैक नहीं किया था, DJI सर्वर ने मेरी प्रमाणीकरण कुंजी को एक सार्वभौमिक कुंजी के रूप में समझ लिया था। अब कल्पना कीजिए कि रोबोट वैक्यूम क्लीनर के बजाय, इस सिस्टम में खाते और क्रिप्टो वॉलेट होते, जिनमें से प्रत्येक में सैकड़ों या सैकड़ों हजारों डॉलर की विभिन्न डिजिटल मुद्राएँ होतीं!
मैं यह कल्पना करके दंग रह गया कि सैकड़ों मिलियन को एक अज्ञात स्थान पर स्थानांतरित करने में कितना कम समय लगेगा — आखिरकार, हमलावर ईथर, बिटकॉइन, या अन्य टोकन को तेज़ी से तीसरे पक्ष के पतों पर स्थानांतरित कर सकते थे। हालाँकि, सौभाग्य से, यह केवल एक काल्पनिक परिदृश्य था। वास्तव में, मुझे क्रिप्टोकरेंसी खाता कुंजियों के बजाय घर के अंदर के हिस्सों और वैक्यूम क्लीनर की गतिविधियों की लाखों तस्वीरों का सामना करना पड़ा।
मैंने तुरंत अपना ऐप बंद कर दिया, DJI की पहुंच वापस कर दी, और कंपनी को इस कमजोरियों के बारे में लिखा। मुझे लगभग अपराधी कह दिया गया, जबकि, वास्तव में, मैं तो बस कमरे की सफाई के लिए डिवाइस का उपयोग करने की कोशिश कर रहा था।
हालांकि, ऐसा लगता है कि कंपनी ने अपना सबक सीख लिया है — आखिरकार, जब निजी डेटा या डिजिटल संपत्ति की बात आती है, तो एक गलती आपको आपकी कल्पना से कहीं ज़्यादा भारी पड़ सकती है!
रोमो की कहानी के बाद, मुझे लगा कि मैंने इस अजीब कहानी को खत्म कर दिया है। हाँ, यह वही सनसनीखेज कहानी है कि कैसे मैंने अपने नए DJI रोमो रोबोट में महारत हासिल करने की कोशिश की, जो ड्रोन तकनीक और वीडियो निगरानी को जोड़ता है, और दुनिया भर में रोबोटिक उपकरणों को हैक किया। लेकिन असली रोमांच तो बाद में शुरू हुआ, जब मेरे दोस्त, जो Chainalysis में एक विश्लेषक है, ने मुझे फोन किया और पूछा कि क्या मुझे यकीन है कि मेरा मामला महज़ एक संयोग था। मुझे यह बताना चाहिए कि हम पहले सैन फ्रांसिस्को और लास वेगास में डिजिटल सुरक्षा सम्मेलनों में मिले थे, जहाँ हमने फ़िशिंग, हैकिंग के तरीकों और तकनीकों, और पहले से हैक किए गए क्रिप्टो वॉलेट्स के बारे में बात की थी।
उन्होंने कहा कि उनकी प्रणालियों ने एक अजीब गतिविधि का पता लगाया था: कई हज़ार क्रिप्टो वॉलेट तक पहुँचने के समन्वित प्रयास, जिनमें एक बात समान थी — केंद्रीकृत प्रमाणीकरण वाली तृतीय-पक्ष सेवाओं का उपयोग। इसके अलावा, सीधे हैक के कोई स्पष्ट संकेत नहीं थे। उपयोगकर्ता और सर्वर के बीच केवल एक कमजोर कड़ी। मैं इस बारे में और इस पहले से ही प्रसिद्ध कहानी के बारे में सब कुछ बताने के लिए सहमत हो गया कि कैसे मैंने गलती से 6,700 डिवाइस हैक कर लिए थे।
हम ऑफ़लाइन मिले। मेज पर लेन-देन, टाइमस्टैम्प और आईपी क्लस्टर की सूचियों वाला एक लैपटॉप था। कुछ रास्ते पहले लाजरस ग्रुप से जुड़े बुनियादी ढांचे तक जाते थे, जो क्रिप्टो एक्सचेंजों और डीआईएफआई परियोजनाओं पर हमलों के लिए जाना जाने वाला एक समूह है। कोई सीधा सबूत नहीं था। लेकिन संयोग बहुत दिलचस्प थे।
मुझे एहसास हुआ कि अगर रोमो भेद्यता (vulnerability) ने रोबोट वैक्यूम क्लीनर के बजाय क्रिप्टो वॉलेट को प्रभावित किया होता, तो परिदृश्य विनाशकारी होता: सिस्टम ने फंड की आवाजाही को रिकॉर्ड कर लिया होता। साथ ही, निजी कुंजी (private keys) अपरिवर्तनीय रूप से खो गई होतीं। यह ध्यान देने योग्य है कि उपयोगकर्ता एक्सचेंजों, निर्माताओं और सॉफ्टवेयर डेवलपर्स को दोष देते। लेकिन असली कारण एक्सेस आर्किटेक्चर में त्रुटियाँ थीं।
हमने अपने आगे के कार्यों का प्रचार नहीं किया। इसके बजाय, मैंने तकनीकी निष्कर्षों को सुरक्षा टीम को भेज दिया, और कुछ ही दिनों में एक पैच आ गया। मुझे पत्र द्वारा सूचित किया गया कि विशेषज्ञ पहले से ही "यूनिवर्सल की" के रूप में जानी जाने वाली घटना को रोकने के लिए अगली सुरक्षा प्रणाली का परीक्षण कर रहे थे।
डिजिटल दुनिया में, अपराध शायद ही कभी हैकिंग से शुरू होता है। अक्सर, यह एक ऐसे सरल समाधान से शुरू होता है जो "सभी तालों के लिए बहुत अच्छा" काम करता है। और कभी-कभी यह सब एक सामान्य वैक्यूम क्लीनर के कंट्रोलर को चालू करने से भी शुरू हो सकता है। हाल ही में मेरे साथ ठीक ऐसा ही हुआ।
