டிஸ்கார்ட் ஹேக்கிங்: உங்கள் பாஸ்போர்ட் ஒரு ஹேக்கரின் கையில்...
நடந்தது என்ன?
ஒரு மழைக்கால இரவு. உங்கள் ஸ்மார்ட்போனில் ‘டிஸ்கார்ட்’ (Discord) செயலியைத் திறக்கிறீர்கள். நண்பர்களுடன் அரட்டை, கேமிங் என உங்கள் உலகம் அதில் சுழல்கிறது.
திடீரென, உங்கள் வயது குறித்து ஒரு சந்தேகம் எழுப்பப்பட்டு, கணக்கு முடக்கப்படுகிறது. அதைச் சரிசெய்ய, உங்கள் முகத்தையும், பாஸ்போர்ட் அல்லது டிரைவிங் லைசென்ஸ் அல்லது உங்களது ஏதோ ஒரு அடையாள அட்டையையும், உங்கள் டிஸ்கார்ட் பயனர் பெயரையும் ஒரு வெள்ளைத் தாளில் எழுதி, மூன்றையும் ஒன்றாக வைத்து ஒரு செல்ஃபி எடுத்து அனுப்பச் சொல்கிறது. 
‘சரி, ஒரு பெரிய நிறுவனம்தானே, நம்பி அனுப்பலாம்’ என்று நீங்களும் அனுப்புகிறீர்கள்.அடுத்த சில நாட்களில், உங்கள் கணக்கு சரியாகிவிடுகிறது. நீங்களும் அதை மறந்துவிடுகிறீர்கள். ஆனால், நீங்கள் மறந்த அந்த ஒரு புகைப்படம், எங்கோ ஒரு கண்டத்தில் இருக்கும் ஒரு ஹேக்கரின் கம்ப்யூட்டரில் இப்போது இருக்கிறது என்றால்..? பகீரென்கிறதா..?
சமீபத்தில், கோடிக்கணக்கானோரால் பயன்படுத்தப்படும் ‘டிஸ்கார்ட்’ தளத்தில் இதுதான் நடந்தது. இது ஒரு சாதாரண டேட்டா திருட்டு என்பதைத் தாண்டி, ஒரு மனிதன் இன்னொரு மனிதன் மீது, ஒரு பயனர் ஒரு செயலியின் மீது வைக்கும் அசைக்க முடியாத நம்பிக்கையின் மீது ஆணியடித்திருக்கிறது. நம்மைப் பாதுகாக்க வந்த சட்டங்களே நமக்கு எப்படி எதிரியாக மாறின என்ற விசித்திரத்தின் கதை இது.
திருடன் உள்ளே வந்தது எப்படி?
கதவை உடைத்து, ஜன்னலை நெம்பித் திருடுவது ஒரு வகை. வீட்டின் சாவியை வைத்திருக்கும் காவலாளியையே ஏமாற்றி, அவர் கையாலேயே கதவைத் திறந்து உள்ளே செல்வது இன்னொரு வகை. ‘டிஸ்கார்ட்’ விஷயத்தில் நடந்தது இந்த இரண்டாவது வகைதான்!
சம்பவ நாள், செப்டம்பர் 20, 2025. ‘டிஸ்கார்டை’ ஹேக் செய்ய வந்த Scattered Lapsus$ Hunters (SLH) எனும் ஹேக்கர்கள் குழு, ‘டிஸ்கார்’டின் பிரதான சர்வர்களைத் தொடக்கூட இல்லை.
“லட்டுல வச்சேன்னு நெனச்சியா நட்டுல வச்சேன்” என்பது போல, அவர்கள் வைத்த குறி, ‘டிஸ்கார்’டுக்கு வாடிக்கையாளர் சேவை வழங்கும் ஒரு மூன்றாம் தரப்பு நிறுவனம்.
சுருக்கமாகச் சொன்னால், புகைப்படங்களை சரிபார்க்கும் பணிக்கு அவுட்சோர்ஸ் செய்யப்பட்ட ஒரு பிபிஓ நிறுவனம். அவர்கள் பயன்படுத்திய Zendesk மென்பொருளின் ஒரு பகுதி ஹேக் செய்யப்படுகிறது.
அங்கே வேலை பார்க்கும் ஒரு சாதாரண ஊழியரின் கணக்கை, ‘சோஷியல் இன்ஜினியரிங்’ எனப்படும் உளவியல் ரீதியான தந்திரங்கள் மூலம் ஹேக் செய்கிறார்கள்.
ஒருவேளை ஃபிஷிங் மெயிலாக இருக்கலாம் (உங்களுக்கு வரும் மின்னஞ்சல் வழியே, அதில் இருக்கும் லிங்க் அல்லது அட்டாச்மெண்ட்டை நீங்கள் திறந்து பார்ப்பது) அல்லது வேறு ஏதோ ஓர் ஆசை வார்த்தையாக இருக்கலாம்.
பாவம் அந்த ஊழியர்! அவர் தன் பாஸ்வேர்டை இழந்த நொடியில், ‘டிஸ்கார்’டின் வாடிக்கையாளர் சேவைக்கான கதவு அகலமாகத் திறக்கப்பட்டது.
உள்ளே நுழைந்த ஹேக்கர்கள், சுமார் 58 மணி நேரம், அதாவது இரண்டரை நாட்கள், அந்த சிஸ்டத்தில் ராஜாங்கம் நடத்தியிருக்கிறார்கள்.
அவர்கள் என்னவெல்லாம் எடுத்தார்கள் தெரியுமா?
பெயர்கள், ஈ-மெயில் முகவரிகள், ஐபி அட்ரஸ்கள். நீங்கள் வாங்கிய பொருட்களின் ரசீது வரலாறு, உங்கள் கிரெடிட் கார்டின் கடைசி நான்கு இலக்கங்கள். வாடிக்கையாளர் சேவையுடன் நீங்கள் பரிமாறிக்கொண்ட அனைத்து உரையாடல்கள்.
இவை எல்லாவற்றையும் விட மிக மிக முக்கியமான, அபாயகரமான ஒன்று: அரசு வழங்கிய உங்கள் அடையாள அட்டைகளின் புகைப்படங்கள்! ஆம், வயது உறுதிப்படுத்தலுக்காக நீங்கள் அனுப்பிய பாஸ்போர்ட், டிரைவிங் லைசென்ஸ் போன்றவை.
‘டிஸ்கார்’டின் முக்கிய சர்வர்கள் பாதிக்கப்படாததால், பயனர்களின் பாஸ்வேர்டுகளோ அல்லது தனிப்பட்ட உரையாடல்களோ திருடப்படவில்லை என்பது மட்டுமே ஒரே ஆறுதல்.
நல்லது செய்யப் போய்... வினையில் முடிந்த கதை!ஒரு நிமிடம் யோசியுங்கள். ‘டிஸ்கார்ட்’ ஏன் உங்களிடம் பாஸ்போர்ட் போன்ற ஆவணங்களைக் கேட்க வேண்டும்? இங்கேதான் ஒரு பெரிய டுவிஸ்ட் இருக்கிறது.
இங்கிலாந்தின் ‘ஆன்லைன் பாதுகாப்புச் சட்டம்’, ஆஸ்திரேலியாவின் ‘16 வயதுக்குட்பட்ட சமூக ஊடகத் தடை’ மற்றும் அமெரிக்காவின் COPPA (Children’s Online Privacy Protection Act) போன்ற சட்டங்கள், சிறுவர்களை ஆன்லைன் உலகின் அபாயங்களிலிருந்து பாதுகாக்க உருவாக்கப்பட்டன.
நல்ல நோக்கம்தான். இந்தச் சட்டங்கள், ‘டிஸ்கார்ட்’ போன்ற தளங்கள் தங்கள் பயனர்களின் வயதை உறுதிப்படுத்த வேண்டும் என்று கட்டாயப்படுத்தின.
அதற்காக ‘டிஸ்கார்ட்’ ஒரு வழியைக் கொண்டுவந்தது. தானியங்கி முறையில் வயது சரிபார்க்கப்படும். அது தோல்வியடைந்தால், மேல்முறையீடு செய்ய அரசு அடையாள அட்டையை சமர்ப்பிக்க வேண்டும்.
சட்டத்துக்குப் பயந்து, பயனர்களைப் பாதுகாக்க ‘டிஸ்கார்ட்’ உருவாக்கிய இந்த வழிமுறைதான், ஹேக்கர்களுக்கு ஒரு ஜாக்பாட்டாக மாறியது.பாதுகாப்பு நிபுணர்கள் இதை ‘ஹனிபாட்’ என்பார்கள். அதாவது, தேன் குடம். தேன் இருக்கும் இடத்தில் ஈக்கள் மொய்ப்பது போல, மதிப்புமிக்க தகவல்கள் ஒரே இடத்தில் குவிக்கப்பட்டால், ஹேக்கர்கள் அதை நோக்கிப் படையெடுப்பார்கள்.
இங்கு, சட்டத்தின் பெயரால், ‘டிஸ்கார்ட்’ லட்சக்கணக்கானோரின் அடையாள அட்டைகள் அடங்கிய ஒரு தேன் குடத்தை உருவாக்கி, அதை ஒரு மூன்றாம் தரப்பு நிறுவனத்தின் பொறுப்பில் விட்டிருந்தது. விளைவு?
எண்களின் யுத்தம்: 70,000 Vs 21 லட்சம்!
திருட்டு நடந்த பிறகு, ‘டிஸ்கார்ட்’ ஒரு பக்கம், ஹேக்கர்கள் மறுபக்கம் என ஒரு தகவல் யுத்தமே தொடங்கியது.“சுமார் 70,000 பேருடைய அரசு அடையாள அட்டைகள் திருடு போயிருக்கலாம்.
பாதிக்கப்பட்ட பயனர்களுக்கு நாங்கள் இமெயில் மூலம் தகவல் தெரிவித்தோம். இது ஒரு வரையறுக்கப்பட்ட அத்துமீறல் மட்டுமே...” என ‘டிஸ்கார்ட்’ சமாளித்தாலும், “இல்லை. எங்களிடம் 21 லட்சத்து 85 ஆயிரம் அடையாள அட்டைகளின் புகைப்படங்கள் இருக்கின்றன. சுமார் 1.5 டெராபைட் டேட்டா. 55 லட்சம் பயனர்களின் தகவல்கள்...” என்கிறார்கள் ஹேக்கர்கள். திருடர்களில் ‘இவன்’ நல்ல திருடன் போல!
ஆனால், ஹேக்கர்கள் சொன்ன எண்களை ‘டிஸ்கார்ட்’ முற்றிலுமாக மறுத்தது. பணம் பறிக்கும் நோக்கில் ஹேக்கர்கள் எண்களைப் பெரிதுபடுத்திக் கூறலாம் என்பது பாதுகாப்பு நிபுணர்களின் கருத்து.
இருந்தாலும் யாருடைய கணக்கு சரி? யார் சொல்வதை நம்புவது?ஆனால், இந்த எண்களை வைத்து ஹேக்கர்கள் ஆடிய ஆட்டம் பயங்கரமானது. முதலில் ‘டிஸ்கார்’டிடம் 5 மில்லியன் டாலர் பேரம் பேசினார்கள்.
‘டிஸ்கார்ட்’ மறுக்க, 3.5 லட்சம் டாலராக பேரம் குறைந்தது. அப்போதும் ‘டிஸ்கார்ட்’ மறுக்க, கடுப்பான ஹேக்கர்கள் பொதுவெளியில் தகவல்களைக் கசியவிட்டு அழுத்தம் கொடுத்தனர். இது ஒரு நவீன டிஜிட்டல் கொள்ளைக் கூட்டத்தின் உளவியல் போர்.
நமக்கு என்ன பாதிப்பு? அடுத்து என்ன?
“என் பாஸ்போர்ட் திருடு போனா என்ன?” என்று நீங்கள் நினைக்கலாம். அது ஒரு பாஸ்வேர்டைப் போல மாற்றக்கூடியதல்ல. அது உங்கள் வாழ்நாள் அடையாளம்.
ஏனெனில், உங்கள் பெயரில், உங்கள் அடையாள அட்டையை வைத்து ஒருவர் வங்கியில் கடன் வாங்கலாம். சிம் கார்டு வாங்கலாம்.
மோசமான குற்றங்களில் ஈடுபட்டு, உங்கள் பெயரைச் சிக்க வைக்கலாம் அல்லது உங்கள் தகவல்களை வைத்து, உங்களை நம்பவைத்து, மிகத் தத்ரூபமான ஃபிஷிங் மெயில்களை அனுப்பி உங்கள் வங்கிக் கணக்கையே காலி செய்யலாம்.
“அட போய்யா சும்மா பூச்சாண்டி காட்ற...” என்று நீங்கள் நினைத்தால், நீங்கள் செய்யாத ஒரு தவறுக்கு, ஒரு நாள் போலீஸ் உங்கள் கதவைத் தட்டும்போதுதான் இதன் முழுப் பரிமாணமும் புரியும்.
அதன்பிறகு, ‘நான் நிரபராதி’ என்று நிரூபிக்கும் பகீரதப் பிரயத்தனம் உங்களை மனரீதியாகவும் பொருளாதார ரீதியாகவும் சிதைத்துவிடும். ‘கணிதன்’, ‘இரும்புத்திரை’ போன்ற திரைப்படங்கள் ஏற்கனவே இது போன்ற மோசடிகள் குறித்த விளிப்புணர்வை நமக்கு அளித்துள்ளன.
சரி, இனி நாம் என்ன செய்ய வேண்டும்?
‘டிஸ்கார்’டிடமிருந்து அதிகாரபூர்வ மின்னஞ்சல் வந்தால், உடனடியாக உங்கள் வங்கிக் கணக்குகள், கிரெடிட் ரிப்போர்ட்களைக் கண்காணியுங்கள். முடிந்தால், ‘கிரெடிட் ஃப்ரீஸ்’ உத்தமம்.
எந்த ஒரு செயலிக்கும் தேவைக்கு அதிகமான தகவல்களைத் தராதீர்கள். குறிப்பாக, அரசு அடையாள அட்டைகளைக் கேட்பதைத் தவிர்க்கவும். எல்லா முக்கியக் கணக்குகளுக்கும் ‘Two-Factor Authentication’ஐ இப்போதே செயல்படுத்துங்கள்.
அதன்பின், உங்கள் கணக்கே திருடப்பட்டாலும், நுழையும் போது கேட்கும் ஓடிபி உங்களிடம் மட்டுமே இருக்கும். ஹேக்கர்கள், மந்திரத்தை மறந்த அலிபாபாவின் அண்ணனைப் போல் ஆகிவிடுவார்கள்.
மக்களைப் பாதுகாக்க அரசு சட்டம் இயற்றும்போது, அதனால் உருவாகக்கூடிய டிஜிட்டல் பாதுகாப்பு அபாயங்களையும் கருத்தில் கொள்ள வேண்டும்.
அடையாளங்களைச் சேமிப்பதை விட, அவற்றைச் சரிபார்க்கும் தொழில்நுட்பங்களை ஊக்குவிக்க வேண்டும். ஐரோப்பாவின் GDPR மற்றும் இங்கிலாந்தின் ICO போன்ற அமைப்புகள் இந்த நிகழ்வு குறித்து நிச்சயம் விசாரணை நடத்தும் என எதிர்பார்க்கப்படுகிறது.
இந்தத் தாக்குதல் கண்டுபிடிக்கப்பட்டவுடன், ‘டிஸ்கார்ட்’ உடனடியாக அந்த மூன்றாம் தரப்பு நிறுவனத்தின் தொடர்பைத் துண்டித்து, மேலும் பாதிப்பு ஏற்படுவதைத் தடுத்தது என்பது குறிப்பிடத்தக்கது. இருந்தாலும், இந்த ‘டிஸ்கார்ட்’ சம்பவம், நமக்கு அடித்துச் சொல்லும் பாடம் ஒன்றுதான்: இன்றைய உலகில், பாதுகாப்பு என்பது உங்கள் வீட்டுப் பூட்டை மட்டும் நம்பி இல்லை.
உங்கள் வீட்டின் சாவியை வைத்திருக்கும் காவலாளி, அந்தக் காவலாளியை வேலைக்கு அமர்த்திய செக்யூரிட்டி ஏஜென்சி என அந்தச் சங்கிலியில் உள்ள ஒவ்வொரு வளையமும் பலமாக இருக்க வேண்டும். இல்லையென்றால், ஒரு சிறிய தவறு, நம் ஒட்டுமொத்த வாழ்க்கையையும் தலைகீழாகப் புரட்டிப் போட்டுவிடும். உஷார்!
ஜி.ஏ.கௌதம்
|