പല കമ്പനികള്ക്കും സാധാരണ സംഭവിക്കുന്ന കൈയ്യബദ്ധമാണ് തങ്ങളുടെ കമ്പനിയെക്കുറിച്ചുള്ള വിവരങ്ങള് തുറന്നിടുക എന്നത്. പലപ്പോഴും ഇത് അതി ബ്രഹത്തായ ഇന്റര്നെറ്റിലേക്ക് തുറന്നു കിടക്കുകയുമായിരിക്കും. എന്നാല്, സാധാരണ കമ്പനികളെപ്പോലെയല്ല ലോകത്തെ ഏറ്റവും പ്രധാനപ്പെട്ട, പ്രായപൂര്ത്തിയായവര്ക്കുള്ള ലൈവ് സ്ട്രീമിങ് സൈറ്റുകളിലൊന്നിലെ ഡേറ്റ. അവര് തുറന്നിട്ടത് 7 ടെറാബൈറ്റ് വരുന്ന പേരുകള്, ലൈംഗിക വ്യക്തി താത്പര്യങ്ങള്, പണം നല്കിയതിന്റെ വിശദാംശങ്ങള് ചാറ്റുകള് എന്നിവ അടക്കമുള്ള കാര്യങ്ങളാണ്. ഇവ മൊത്തം ഏകദേശം 1088 കോടി രേഖകള് വരുമെന്നാണ് വിലയിരുത്തല്. ക്യാം4 (CAM4) എന്ന് അറിയപ്പെടുന്ന വെബ്സൈറ്റിലെ സന്ദര്ശകരുടെയും ലൈവ് അശ്ലീല പ്രകടനം നടത്തുന്നവരുടെയും വിവരങ്ങളാണ് തുറന്നു കിടന്നത്.
തങ്ങള് ഫ്രീ ലൈവ് സെക്സ് ക്യാമുകള് കാണിക്കുന്നു എന്നാണ് വെബ്സൈറ്റ് പരസ്യം ചെയ്യുന്നത്. സുരക്ഷിതമല്ലാത്ത വെബ്സൈറ്റുകളെ കണ്ടെത്താനുള്ള ശ്രമത്തിന്റെ ഭാഗമായി, സുരക്ഷാ റിവ്യൂ നടത്തുന്ന സൈറ്റായ 'സെയ്ഫ്റ്റി ഡിറ്റക്ടീവ്സ്' ആണ് ഷോഡാന് (Shodan) എൻജിനിലൂടെ നടത്തിയ സേര്ച്ചില് പ്രശ്നം കണ്ടെത്തിയത്. ക്യാം4ന്റെ എലാസ്റ്റിക്സേര്ച് (ElasticSearch) പ്രൊഡക്ഷന് ഡേറ്റാ അടിത്തറ വേണ്ടവിധത്തില് സുരക്ഷിതമായല്ല കോണ്ഫിഗര് ചെയ്തിരുന്നത് എന്നാണ് അവര് കണ്ടെത്തിയത്. ഇവിടെ സൈറ്റിലെത്തുന്നവരെയും പ്രകടനം നടത്തുന്നവരെയും കുറിച്ചുള്ള വ്യക്തിവിവരങ്ങള് എളുപ്പത്തില് ലഭ്യമായിരുന്നുവെന്നാണ് അവര് കണ്ടെത്തിയത്. ഒരു പാസ്വേഡ് പോലുമിടാതെ പ്രൊഡക്ഷന് സെര്വര് തന്നെ തുറന്നിട്ടിരിക്കുകയായിരുന്നു എന്നാണ് സേഫ്റ്റി ഡിറ്റക്ടീവ്സിന്റെ ഗവേഷകന് അനുരാഗ് സെന് പറയുന്നത്. അദ്ദേഹമടങ്ങുന്ന ടീമാണ് ലീക്ക് കണ്ടെത്തിയത്. ക്യാം4നും അതിലെ സന്ദര്ശകര്ക്കും അപകടകരമായ സാഹചര്യമാണ് തങ്ങള് കണ്ടെത്തിയതെന്ന് അദ്ദേഹം പറഞ്ഞു.
ഹാക്കു ചെയ്യപ്പെട്ടില്ല
ഇതൊക്കെയാണെങ്കിലും വെബ്സൈറ്റ് ഹാക്കു ചെയ്യപ്പെടുകയുണ്ടായില്ല. അത്തരം സൂചനകളൊന്നും ലഭിച്ചിട്ടില്ല. വെബ്സൈറ്റിന്റെ ഡേറ്റാ ബെയ്സിലേക്ക് കടന്നുകയറിയതായുള്ള സൂചനകളും ഗവേഷകര്ക്കു കിട്ടിയില്ല. എന്നാല്, തെളിവു ലഭിച്ചില്ല എന്നതിനാല് ഹാക്കു ചെയ്യപ്പെട്ടിട്ടില്ലെന്നും പറയാനാവില്ല എന്നും പറയുന്നു. ഇതിനെ ബാങ്കിന്റെ പണമിരിക്കുന്ന ലോക്കറിന്റെ വാതിലും പ്രധാന കവാടവുമെല്ലാം തുറന്നിട്ടിരിക്കുന്നതിനോടാണ് ഗവേഷകര് താരതമ്യം ചെയ്യുന്നത്. കള്ളന്മാര് കയറി പണമെടുത്തിരുന്നെങ്കില് കാര്യങ്ങള് കൂടുതല് വഷളാക്കുമായിരുന്നു എന്നത് വേറെ കാര്യം.
ഇതേക്കുറിച്ച് അന്വേഷണം നടത്തിയ ക്യാം4 പറയുന്നത്, തങ്ങളുടെ ഉപയോക്താക്കളെ തിരിച്ചറിയാവുന്ന തരത്തിലുള്ള വിവരങ്ങളൊന്നും- പേര്, അഡ്രസ്, ഇമെയില്, ഐപി അഡ്രസ്, പണം നല്കിയതിന്റെ വിശദാംശങ്ങള് തുടങ്ങിയവ സേഫ്റ്റി ഡിറ്റക്ടീവ്സിന്റെ ഗവേഷകരും തങ്ങളുടെ സ്വന്തം ഗവേഷകരും ഒഴികെ ആരും പരിശോധിട്ടില്ല എന്നാണ്. കൂടാതെ, ചൂണ്ടിക്കാട്ടപ്പെട്ട സുരക്ഷാവീഴ്ച മുതലെടുക്കപ്പെട്ടായിരുന്നെങ്കില് പോലും വളരെ കുറച്ചു പേര്ക്കു മാത്രമേ പ്രശ്നമാകുമായിരുന്നുള്ളൂ എന്നും അവര് അവകാശപ്പെട്ടു. ഗവേഷകര് പറഞ്ഞതു പോലെ കണ്ണുതള്ളിക്കുന്ന രീതിയിലുള്ള വിവര ചോര്ച്ചയൊന്നും സംഭിവിക്കുമായിരുന്നില്ലെന്നാണ് അവരുടെ അവകാശവാദം. ഹാക്കര്മാര് കടന്നുകയറിയായിരുന്നെങ്കില് ഏകദേശം 93 പേരുടെ പണമടയ്ക്കല് വിവരങ്ങള് പുറത്താകുമായിരുന്നു. ഇവരില് സൈറ്റ് സന്ദര്ശിക്കുന്നവരും പ്രകടനം നടത്തുന്നവരും ഉള്പ്പെടും.
സാധാരണ സംഭവിക്കുന്നത്
ക്യാം4ല് നടന്നതുപോലെയുള്ള സുരക്ഷാവീഴ്ച ഇന്റര്നെറ്റില് ഇഷ്ടംപോലെ നടക്കുന്നു. ഇലാസ്റ്റിക്സേര്ച് സെര്വര് അബദ്ധങ്ങളാണ് പല പ്രശസ്തമായ ഡേറ്റാ ലീക്കുകള്ക്കും പിന്നില്. സാധാരണ ഇത് കമ്പനിക്കുള്ളില് മാത്രമാണ് ലഭ്യമായിരിക്കുക. എന്നാല്, ആരുടെയെങ്കിലും വീഴ്ച മൂലം ഇത് പാസ്വേഡ് ഇല്ലാതെ ഇന്റര്നെറ്റിലേക്കു തുറന്നു കിടക്കും. ഇലാസ്റ്റിക്സേര്ച് തുറന്നു കിടക്കുക എന്നത് ഇന്റര്നെറ്റില് സര്വ്വസാധാരണമായ കാഴ്ചയാണെന്ന് ഗവേഷകര് പറയുന്നു. ക്യം4ന്റെ കാര്യത്തില് അവര് തുറന്നിട്ട ഡേറ്റയുടെ ബാഹുല്യം മാത്രമാണ് തന്നെ അദ്ഭുതപ്പെടുത്തുന്നത് എന്നാണ് മറ്റൊരു ഗവേഷകനായ ബോബ് ഡൈച്ചെങ്കോ പറഞ്ഞത്.
ഈ സാഹചര്യത്തെക്കുറിച്ച് ക്യാം4ന്റെ വിലയിരുത്തല് എന്താണെങ്കിലും അവര് തുറന്നിട്ടത് അത്രമേല് വലിയ ഡേറ്റാ കൂമ്പാരമാണെന്നാണ് പൊതുവെ പറയുന്നത്. ഈ വര്ഷം മാര്ച്ച് 16 മുതലുള്ള ഡേറ്റയാണ് തുറന്നിട്ടതായി കണ്ടെത്തിയത്. മുകളില് പറഞ്ഞ ഡേറ്റാ കൂടാതെ സന്ദര്ശകന് ഏതു രാജ്യത്തു നിന്നുള്ളയാളാണ്, എന്നാണ് സൈന്-അപ് ചെയ്തത്, ഏത് ഡിവൈസാണ് ഉപയോഗിക്കുന്നത്, ഏതു ഭാഷയാണു താത്പര്യം, യൂസര് നെയിം, കമ്പനിയിലേക്ക് അയച്ച ഇമെയിലുകള് തുടങ്ങിയവയെല്ലാം ലഭ്യമായിരുന്നു.
ഗവേഷകര് കണ്ടെത്തിയ 1088 കോടി വിവരങ്ങളില്, 1.1 കോടി ഇമെയില് അഡ്രസുകള് ഉണ്ടായിരുന്നു. പഠനം നടത്തിയവര് പറയുന്നത് ക്യാം4ന്റെ ഏകദേശം 66 ലക്ഷം ഉപയോക്താക്കള് അമേരിക്കക്കാരാണ് എന്നാണ്. 54 ലക്ഷം ബ്രസീലുകാരും, 49 ലക്ഷം ഇറ്റലിക്കാരും, 42 ലക്ഷം ഫ്രഞ്ചുകാരും ഉണ്ടെന്നും ഗവേഷകര് പറയുന്നു. ഡേറ്റാ തുറന്നിട്ടതില് നിന്ന് ആര്ക്കൊക്കെ പ്രശ്നങ്ങള് ഉണ്ടായി എന്നതിനെക്കുറിച്ച് ഇപ്പോള് വ്യക്തതയില്ല. ഗവേഷകര് മുന്നറിയിപ്പു നല്കി അരമണിക്കൂറിനുള്ളില് സെര്വര് ഓണ്ലൈനില് നിന്ന് വിച്ഛേദിച്ച് പ്രശ്നം പരിഹരിക്കുയായിരുന്നു ക്യാം4.