WhatsApp: खतरे में लगभग सभी भारतीयों का डेटा, कितना बड़ा है खतरा-कैसे बचें?

सिक्योरिटी रिसर्चर्स ने कहा है कि वे 3.5 अरब से ज्यादा एक्टिव WhatsApp अकाउंट्स से जुड़े फोन नंबर स्क्रैप करने में सफल रहे, जिनमें लगभग 75 करोड़ भारतीय यूजर भी शामिल थे, जो दुनिया में सबसे ज्यादा है।

रिसर्चर्स 62 प्रतिशत (या 46.5 करोड़) भारतीय यूजर्स की पब्लिकली दिखने वाली WhatsApp प्रोफाइल फोटो भी निकाल पाए, साथ ही ‘About’ टेक्स्ट, कंपैनियन-डिवाइस यूसेज, बिजनेस अकाउंट इंफॉर्मेशन और दूसरी प्रोफाइल डीटेल्स भी।

ये सभी निष्कर्ष 18 नवंबर, मंगलवार को यूनिवर्सिटी ऑफ विएना (ऑस्ट्रिया) के कंप्यूटर साइंटिस्ट्स द्वारा प्रकाशित रिसर्च पेपर का हिस्सा हैं, जहां रिसर्चर्स ने बताया कि उन्होंने WhatsApp के कॉन्टैक्ट डिस्कवरी फीचर का फायदा उठाकर इतने बड़े डेटासेट तैयार किए।

एक WhatsApp यूजर आसानी से पता लगा सकता है कि कोई मोबाइल नंबर प्लेटफॉर्म पर रजिस्टर्ड है या नहीं- बस उस नंबर को फोन में सेव कर इतना देखना होता है कि वह चैट लिस्ट में दिख रहा है या नहीं। अगर सामने वाले ने विजिबिलिटी लिमिट नहीं की है, तो उसका प्रोफाइल फोटो और नाम भी दिख जाता है।

रिसर्च से पता चलता है कि कॉन्टैक्ट-डिस्कवरी फीचर यूजर्स के लिए दूसरे यूजर्स को खोजने और उनसे बातचीत शुरू करने में आसान हो सकता है। लेकिन, इसका गलत इस्तेमाल करके प्लेटफॉर्म के XMPP एंडपॉइंट्स का फायदा उठाकर एडवांस्ड टेक्नीक का इस्तेमाल करके बड़े पैमाने पर WhatsApp प्रोफाइल डेटा इकट्ठा किया जा सकता है।

3.5 अरब अकाउंट्स में से रिसर्चर्स 57 प्रतिशत यूजर्स की पब्लिक प्रोफाइल फोटो स्क्रैप करने में सक्षम रहे। ब्राजील में, मिले 206 मिलियन WhatsApp-लिंक्ड नंबर्स में से 61 प्रतिशत की प्रोफाइल फोटो पब्लिक थीं। ये भारत के बाद दूसरा सबसे बड़ा आंकड़ा है।

आमतौर पर रेट-लिमिटिंग ऐसे दुरुपयोग से बचाव का मानक तरीका माना जाता है। लेकिन रिसर्चर्स ने WhatsApp पर आरोप लगाया कि उन्होंने ब्राउजर-बेस्ड ऐप के जरिए किए जा सकने वाले कॉन्टैक्ट डिस्कवरी रिक्वेस्ट्स की स्पीड या नंबर को लिमिट नहीं किया। पेपर में लिखा है, 'हम अपनी स्टडी में हर घंटे 100 मिलियन से ज्यादा फोन नंबर की जांच कर पाए, वो भी बिना किसी ब्लॉकिंग या प्रभावी रेट-लिमिटिंग के'। इसके लिए एक स्क्रिप्ट के जरिए करोड़ों रैंडम नंबर्स वॉट्सऐप सर्वर पर भेजे गए थे। फिर डिटेल सामने आई।

Meta के स्वामित्व वाला प्लेटफॉर्म कथित तौर पर इस समस्या को अक्टूबर में ठीक कर चुका है और मास कॉन्टैक्ट-डिस्कवरी रोकने के लिए ज्यादा सख्त रेट-लिमिटिंग लागू किया है। लेकिन इन निष्कर्षों को पहली बार WhatsApp को अप्रैल 2025 में भेजा गया था- यानी संभव है कि इस दौरान दूसरे एक्टर्स भी यही स्क्रैपिंग तकनीक इस्तेमाल कर चुके हों।

सेफ हैं चैट्स, यानी ये हैकिंग नहीं स्क्रैपिंग है

गौर करने वाली बात ये है कि इन फाइंडिंग्स से ये साबित नहीं होता कि WhatsApp के एंड-टू-एंड एन्क्रिप्शन से समझौता हुआ है। मगर, यूजर की मामूली जानकारी, जैसे कि फोन नंबर, 'About' टेक्स्ट और प्रोफाइल फोटो भी अगर बाहर आ जाए, तो उसे इस्तेमाल करके लोगों की पहचान बताने वाली निजी जानकारी के बड़े-बड़े डेटाबेस बनाए जा सकते हैं।

पेपर में कहा गया, 'अगर यह डेटा गलत हाथों में चला जाए, तो इसे फेशियल रिकॉग्निशन बेस्ड लुकअप सर्विस, यानी ‘रिवर्स फोन बुक’, बनाने में इस्तेमाल किया जा सकता है, जहां किसी की फोटो डालकर उससे जुड़े फोन नंबर और उपलब्ध मेटाडेटा निकल सकते हैं,'। ये भी कहा गया कि, 'इसके अलावा प्रोफाइल फोटो में दिखने वाली चीजें, जैसे लाइसेंस प्लेट, स्ट्रीट साइन या लैंडमार्क्स, यूजर की पहचान, लोकेशन या डेली एन्वायरनमेंट तक बता सकती है'।

एक रिपोर्ट के मुताबिक इस डेटा को केवल इकट्ठा नहीं किया गया। बल्कि, डार्क वेब पर सेल करे के लिए तैयार किया गया। यानी दुनिया के किसी भी कोने पर बैठा व्यक्ति एक्टिव फोन नंबर्स की लिस्ट बना सकता है और इसे स्कैम्स के लिए कर सकता है। बीच में इंडियन्स को +92, +84 और +62 जैसे अजीब नबंर्स से वीडियो कॉल्स आए, ये इसी का असर था। यानी संभव है कि आपका डेटा अभी डार्क वेब पर उपलब्ध हो।

भारत के लिए इसका क्या मतलब है?

भारत Meta और WhatsApp का सबसे बड़ा मार्केट है, जहां पिछले साल 500 मिलियन से ज्यादा मंथली एक्टिव यूजर रिकॉर्ड किए गए थे। रिसर्चर्स की ये डिस्कवरी ऐसे समय में सामने आई है जब डिजिटल पर्सनल डेटा प्रोटेक्शन (DPDP) नियम लागू किए गए हैं, जो देश के डेटा-प्रोटेक्शन कानून को ऑपरेशनलाइज कर रहे हैं, ये वही कानून है जिसे दो साल पहले पास किया गया था।

DPDP एक्ट, 2023 के तहत, किसी यूजर के फोन नंबर या ईमेल एड्रेस को ‘पर्सनल डेटा’ माना जाता है। ये एक्ट ‘पर्सनल डेटा ब्रीच’ को इस तरह बताता है, 'पर्सनल डेटा की कोई भी बिना इजाजत प्रोसेसिंग या गलती से उसका खुलासा, उसे हासिल करना, शेयर करना, इस्तेमाल करना, बदलना, उसे खत्म करना या पर्सनल डेटा का एक्सेस खो देना, जिससे पर्सनल डेटा की गोपनीयता, सच्चाई या उपलब्धता खतरे में पड़ जाए।'

हालांकि, इस एक्ट के प्रावधान उस डेटा पर लागू नहीं होते जिसे यूजर स्वयं पब्लिक कर दे। यानी जो लोग अपनी प्रोफाइल फोटो ‘पब्लिक’ रखते हैं, वे इस कानून के तहत सुरक्षित नहीं हो सकते। दूसरी तरफ, WhatsApp पर अब भी कोई ऐसा तरीका उपलब्ध नहीं है जो फोन नंबर शेयर किए बिना दूसरे यूजर्स को खोजने और बात करने दे (हालांकि यह फीचर कथित तौर पर बीटा में है)।

खुद को कैसे सुरक्षित रखें?

Signal, जो WhatsApp का प्राइवेसी-फोकस्ड ऑप्शन है, उसने पिछले साल एक फीचर जोड़ा था जहां यूजर फोन नंबर शेयर किए बिना एक यूनिक यूजरनेम बना सकते हैं। साथ ही यूजर अपना फोन नंबर हाइड कर सकते हैं ताकि कोई भी अन्य यूजर उन्हें नंबर के जरिए खोज न सके या चैट शुरू न कर सके — जब तक कि उनका यूजरनेम न हो। हालांकि, साइन-अप के लिए अभी भी फोन नंबर जरूरी है।

WhatsApp में यूजर अपनी प्रोफाइल डिटेल को सिर्फ contacts या nobody के लिए विजिबल सेट कर सकते हैं। इसके साथ ही साइलेंस अननोन कॉलर और टू-स्टेप वेरिफिकेशन ऑन रखें। WhatsApp समय-समय पर इन-ऐप रिमाइंडर्स भी दिखाता है ताकि यूजर अपनी सेटिंग्स की समीक्षा करें और प्राइवेसी कंट्रोल्स इनेबल रखें। प्लेटफॉर्म ने कहा है कि वह स्कैपर्स को रोकने के लिए रेट-लिमिटिंग और मशीन-लर्निंग तकनीकों का इस्तेमाल कर रहा है।

वायर्ड को वॉट्सऐप के इंजीनियरिंग वाइस प्रेसिडेंट नितिन गुप्ता के हवाले से कहा, 'हम पहले से ही इंडस्ट्री में सबसे अच्छे एंटी-स्क्रैपिंग सिस्टम पर काम कर रहे थे और ये स्टडी इन नए डिफेंस के तुरंत असर को स्ट्रेस-टेस्टिंग और कन्फर्म करने में मददगार थी।' उन्होंने आगे कहा, 'हमें इस वेक्टर का गलत इस्तेमाल करने वाले गलत लोगों का कोई सबूत नहीं मिला है।'

आपको बता दें कि मेटा पहले भी कैंब्रिज अनालिटिका जैसे बड़े स्कैंडल से गुजर चुका है।

यह भी पढ़ें: क्या है Nano Banana Pro, गूगल का लेटेस्ट इमेज जनरेशन टूल को फ्री में कैसे करें यूज?