IoT सिक्योरिटी के इतिहास में इसे अब तक का सबसे बड़ा ‘सेल्फ-गोल’ कहा जा सकता है। एक सॉफ्टवेयर इंजीनियर ने अनजाने में दुनिया भर के 24 देशों में फैले लगभग 7,000 DJI रोबोट वैक्यूम क्लीनर्स का ‘गॉड-मोड’ एक्सेस हासिल कर लिया। रिसर्चर Sammy Azdoufal का इरादा कोई ‘रोबोटिक बगावत’ शुरू करने का नहीं था; वह तो बस अपने नए और बेहद महंगे DJI Romo वैक्यूम को PlayStation 5 कंट्रोलर से चलाना चाहते थे—क्योंकि, आखिर कौन ऐसा नहीं करना चाहेगा?
इस मॉडर्न शौक को पूरा करने के लिए Azdoufal ने एक AI कोडिंग असिस्टेंट की मदद ली ताकि रोबोट के कम्युनिकेशन प्रोटोकॉल को रिवर्स-इंजीनियर (reverse-engineer) किया जा सके। अपने खुद के डिवाइस का ऑथेंटिकेशन टोकन निकालने के बाद, जैसे ही उन्होंने DJI के सर्वर्स से कनेक्शन जोड़ा, उनके सामने सिर्फ उनका अपना सफाईकर्मी रोबोट नहीं, बल्कि 7,000 रोबोट्स की पूरी फौज खड़ी थी। इस तकनीकी खामी ने उन्हें हजारों अनजान यूजर्स के घरों के लाइव कैमरा और माइक्रोफोन फीड, उनके घर का रीयल-टाइम 2D फ्लोर प्लान और डिवाइस स्टेटस का पूरा एक्सेस दे दिया।
इस पूरी समस्या की जड़ एक ऐसी सुरक्षा चूक थी जो जितनी बचकानी थी, उतनी ही खतरनाक भी। DJI के बैकएंड सर्वर्स ने यूजर के टोकन को प्रमाणित (authenticate) तो किया, लेकिन वे अगला सबसे जरूरी कदम उठाना भूल गए: यह जांचना कि यूजर वाकई उस खास डिवाइस का मालिक है या नहीं जिसे वह एक्सेस करने की कोशिश कर रहा है। यह कुछ ऐसा था कि आपके पास एक ऐसी ‘मास्टर की’ आ जाए जो दुनिया के किसी भी दरवाजे को खोल सके। Azdoufal ने बताया कि उन्होंने “किसी नियम का उल्लंघन नहीं किया, न ही कोई बाईपास, क्रैकिंग या ब्रूट फोर्स जैसा तरीका अपनाया,” उन्होंने बस एक ऐसे डिजिटल दरवाजे से अंदर कदम रखा जो पहले से ही चौड़ा खुला था।
यह मामला इतना गंभीर क्यों है?
यह घटना मॉडर्न IoT डिवाइसेज की सुरक्षा में छिपे खतरों का एक क्लासिक उदाहरण है। हम जिन गैजेट्स को अपने घरों के सबसे निजी कोनों में जगह देते हैं—जिनमें कैमरे और माइक लगे होते हैं—उनकी सुरक्षा कभी-कभी नाममात्र की होती है। हालांकि एक बड़े वैश्विक प्राइवेसी ब्रीच का खतरा बहुत ज्यादा था, लेकिन Azdoufal ने जिम्मेदारी दिखाई और तुरंत इस कमजोरी की रिपोर्ट की।
राहत की बात यह है कि DJI ने भी इस पर काफी मुस्तैदी दिखाई। रिपोर्ट मिलने के बाद, कंपनी ने महज दो दिनों के भीतर सर्वर-साइड फिक्स के जरिए इस गंभीर खामी को दूर कर दिया, जिसके लिए यूजर्स को अपनी ओर से कुछ भी करने की जरूरत नहीं पड़ी। हालांकि सवाल अब भी बरकरार है कि इतनी बुनियादी चूक प्रोडक्शन स्टेज तक कैसे पहुंच गई, लेकिन कंपनी की त्वरित प्रतिक्रिया ने एक बड़ी आपदा को टाल दिया। बाकी IoT मैन्युफैक्चरर्स के लिए इसमें एक बड़ा सबक है: अपने दरवाजे हमेशा लॉक रखें, और यह जरूर देख लें कि आपकी चाबियां कहीं पूरे मोहल्ले के ताले तो नहीं खोल रहीं।
