बड़े पैमाने पर Gmail पासवर्ड लीक: 18.3 करोड़ खाते प्रभावित

एक गंभीर डेटा उल्लंघन में लगभग 18.3 करोड़ ईमेल खाते उजागर हो गए हैं, जिसमें Gmail उपयोगकर्ता विशेष रूप से प्रभावित हुए हैं। 21 अक्टूबर 2025 को Have I Been Pwned (HIBP) ब्रीच नोटिफिकेशन डेटाबेस में जोड़े गए इस समझौता किए गए डेटासेट में ईमेल पते उनके संबंधित पासवर्ड के साथ शामिल हैं—जिनमें से कई प्लेनटेक्स्ट फॉर्मेट में स्टोर किए गए हैं।

क्या हुआ था

यह उल्लंघन Google के सर्वर पर सीधे हमले के बजाय इन्फोस्टीलर मैलवेयर से उत्पन्न हुआ। साइबर सुरक्षा विशेषज्ञ ट्रॉय हंट, जो Have I Been Pwned का संचालन करते हैं, ने पुष्टि की कि सुरक्षा फर्म Synthient द्वारा लगभग एक वर्ष तक इन्फोस्टीलर प्लेटफॉर्म और अंडरग्राउंड चैनलों की निगरानी करके 3.5 टेराबाइट का डेटा संकलित किया गया था।

“Synthient Stealer Log Threat Data” नाम से आधिकारिक रूप से पहचाने गए इस डेटासेट का पता अप्रैल 2025 में लगा था लेकिन हाल ही में इसे सार्वजनिक किया गया। Hunt के अनुसार, इस संग्रह में 18.3 करोड़ अद्वितीय ईमेल पते हैं, जिनमें से लगभग 1.64 करोड़ पहले किसी भी डेटा उल्लंघन में कभी नहीं दिखे। इस लीक में Gmail खाते प्रमुखता से शामिल हैं, हालांकि Outlook और Yahoo जैसे अन्य प्रदाता भी प्रभावित हुए हैं।

डेटा कैसे चुराया गया

कंपनी डेटाबेस को लक्षित करने वाले पारंपरिक उल्लंघनों के विपरीत, यह लीक व्यक्तिगत उपयोगकर्ताओं के उपकरणों पर व्यापक इन्फोस्टीलर मैलवेयर संक्रमण का परिणाम था। ये दुर्भावनापूर्ण प्रोग्राम पृष्ठभूमि में चुपचाप काम करते हैं और निम्नलिखित को कैप्चर करते हैं:

• वेबसाइट URLs जहां क्रेडेंशियल दर्ज किए गए थे
• लॉगिन के लिए उपयोग किए गए ईमेल पते
• सादे टेक्स्ट फॉर्मेट में पासवर्ड
• ब्राउज़र कुकीज़ और प्रमाणीकरण टोकन
• सत्र डेटा जो दो-कारक प्रमाणीकरण को बायपास कर सकता है

चोरी की गई क्रेडेंशियल्स को अवैध ऑनलाइन मार्केटप्लेस, अंडरग्राउंड Telegram चैनलों, हैकिंग फोरम और सोशल मीडिया प्लेटफॉर्म के माध्यम से वितरित किया गया जहां साइबर अपराधी इस तरह के डेटा को बड़ी मात्रा में साझा करते हैं।

Google की प्रतिक्रिया

Google ने दृढ़ता से इनकार किया है कि उसके सिस्टम में सेंध लगाई गई, यह बताते हुए: “लाखों उपयोगकर्ताओं को प्रभावित करने वाले Gmail सुरक्षा ‘उल्लंघन’ की रिपोर्टें पूरी तरह से गलत और असत्य हैं।” कंपनी ने स्पष्ट किया कि यह लीक विभिन्न इन्फोस्टीलर मैलवेयर अभियानों के माध्यम से चुराए गए संचित क्रेडेंशियल्स से उत्पन्न हुआ है, न कि Gmail इंफ्रास्ट्रक्चर पर एकल हमले से।एक Google प्रवक्ता ने जोर देकर कहा: “यह रिपोर्ट विभिन्न ऑनलाइन गतिविधियों को लक्षित करने वाली व्यापक इन्फोस्टीलर गतिविधि को उजागर करती है। अपनी ईमेल सुरक्षा को मजबूत करने के लिए, उपयोगकर्ता 2-स्टेप सत्यापन सक्षम कर सकते हैं और पारंपरिक पासवर्ड के एक सरल और अधिक मजबूत विकल्प के रूप में पासकी अपनाने पर विचार कर सकते हैं।

असली खतरा: क्रेडेंशियल स्टफिंग

मुख्य खतरा केवल Gmail एक्सेस से समझौता नहीं है—यह क्रेडेंशियल स्टफिंग हमलों की संभावना है। कई उपयोगकर्ता बैंकिंग और क्लाउड स्टोरेज से लेकर सोशल मीडिया और शॉपिंग साइटों तक, कई खातों में एक ही पासवर्ड का पुन: उपयोग करते हैं। एक बार जब हमलावर इन क्रेडेंशियल्स को प्राप्त कर लेते हैं, तो वे उन्हें कई प्लेटफॉर्म पर व्यवस्थित रूप से परीक्षण कर सकते हैं, जिससे संभावित रूप से उपयोगकर्ता की पूरी डिजिटल उपस्थिति खतरे में पड़ सकती है।

सुरक्षा शोधकर्ताओं ने नोट किया है कि जबकि डेटासेट में कुछ प्रविष्टियां पहले के उल्लंघनों से पुनर्चक्रित हैं, विश्लेषण से पता चला कि 8% डेटा नए, पहले न देखे गए क्रेडेंशियल्स का प्रतिनिधित्व करता है। सत्यापित उपयोगकर्ताओं ने पुष्टि की कि उजागर पासवर्ड अभी भी उनके सक्रिय खातों से मेल खाते हैं।

कैसे जांचें कि आप प्रभावित हैं या नहीं

उपयोगकर्ता haveibeenpwned.com पर जाकर सत्यापित कर सकते हैं कि उनका ईमेल समझौता किए गए डेटासेट में दिखाई देता है या नहीं। यह निःशुल्क सेवा आपको यह करने की अनुमति देती है:

• खोज बार में अपना ईमेल पता दर्ज करें
• समीक्षा करें कि किन उल्लंघनों ने आपकी जानकारी उजागर की है
• देखें कि किस प्रकार के डेटा से समझौता किया गया था
• जांचें कि क्या पासवर्ड लीक हुए हैं

वेबसाइट अब दुनिया भर में 917 से अधिक उल्लंघन की गई साइटों और 15 अरब से अधिक समझौता किए गए खातों को ट्रैक करती है।

अपने खाते की सुरक्षा के लिए तत्काल कदम

अपना पासवर्ड तुरंत बदलें

कम से कम 12 अक्षरों के साथ एक मजबूत, अद्वितीय पासवर्ड बनाएं, जिसमें बड़े अक्षर, छोटे अक्षर, संख्याएं और विशेष वर्ण शामिल हों। कभी भी कई खातों में पासवर्ड का पुन: उपयोग न करें।

दो-कारक प्रमाणीकरण (2FA) सक्षम करें

Google दृढ़ता से 2-स्टेप सत्यापन को सक्रिय करने की सिफारिश करता है, जिसके लिए आपके पासवर्ड से परे प्रमाणीकरण के दूसरे रूप की आवश्यकता होती है। यह उपाय 99% स्वचालित हमलों को रोकता है, भले ही आपका पासवर्ड समझौता किया गया हो। सक्षम करने के लिए:

• अपनी Google खाता सेटिंग्स खोलें
• Security → 2-Step Verification पर जाएं
• अपनी पसंदीदा विधि चुनें (authenticator app, SMS, या security key)
• ऑन-स्क्रीन निर्देशों का पालन करें

पासकी का उपयोग करने पर विचार करें

पासकी पारंपरिक पासवर्ड का अधिक सुरक्षित विकल्प दर्शाती हैं, जो याद रखने योग्य टेक्स्ट स्ट्रिंग्स के बजाय क्रिप्टोग्राफिक key pairs का उपयोग करती हैं। वे फिशिंग, क्रेडेंशियल स्टफिंग और brute-force हमलों के खिलाफ बेहतर सुरक्षा प्रदान करती हैं जबकि तेज़, अधिक सुविधाजनक प्रमाणीकरण भी देती हैं। Google अब पासवर्ड रहित लॉगिन विकल्प के रूप में पासकी का समर्थन करता है।

Google Password Checkup चलाएं

समझौता किए गए, कमजोर, या पुन: उपयोग किए गए पासवर्ड की पहचान करने के लिए Chrome के अंतर्निर्मित Password Checkup टूल का उपयोग करें:

• Chrome खोलें और Profile → Passwords पर क्लिक करें
• बाएं मेनू से “Checkup” चुनें
• फ्लैग किए गए पासवर्ड की समीक्षा करें और उन्हें तुरंत बदलें
• वैकल्पिक रूप से, सीधे passwords.google.com पर जाएं

खाता गतिविधि की समीक्षा करें

अपने Gmail लॉगिन इतिहास की जांच करके संदिग्ध एक्सेस की जांच करें:

• अपने Gmail इनबॉक्स के नीचे स्क्रॉल करें
• “Last account activity” के बगल में “Details” पर क्लिक करें
• हाल के सत्रों की सूची की समीक्षा करें, जिसमें डिवाइस प्रकार, IP पते, स्थान और समय शामिल हैं
• किसी भी अपरिचित डिवाइस या संदिग्ध सत्र से साइन आउट करें

दीर्घकालिक सुरक्षा प्रथाएं

Password Manager का उपयोग करें

हर खाते के लिए अद्वितीय, जटिल पासवर्ड उत्पन्न करने और संग्रहीत करने के लिए एक प्रतिष्ठित password manager का उपयोग करें।

फिशिंग के लिए सतर्क रहें

तत्काल कार्रवाई, पासवर्ड रीसेट, या व्यक्तिगत जानकारी का अनुरोध करने वाले अवांछित ईमेल से अत्यधिक सावधान रहें। धोखेबाज उपयोगकर्ताओं को क्रेडेंशियल प्रकट करने के लिए दबाव डालने हेतु Google कर्मचारियों का रूप धारण कर रहे हैं।

सॉफ्टवेयर अपडेट रखें

इन्फोस्टीलर मैलवेयर द्वारा शोषित कमजोरियों को ठीक करने के लिए अपने ऑपरेटिंग सिस्टम, ब्राउज़र और सुरक्षा सॉफ्टवेयर को नियमित रूप से अपडेट करें।

असामान्य गतिविधि की निगरानी करें

अनधिकृत पहुंच या पहचान की चोरी के संकेतों के लिए नियमित रूप से अपनी खाता गतिविधि, वित्तीय विवरण और क्रेडिट रिपोर्ट की जांच करें।

इन्फोस्टीलर मैलवेयर को समझना

इन्फोस्टीलर मैलवेयर कई माध्यमों से फैलता है:

• दुर्भावनापूर्ण अटैचमेंट या लिंक के साथ फिशिंग ईमेल
• ब्राउज़र कमजोरियों का शोषण करने वाली समझौता की गई वेबसाइटें
• अविश्वसनीय स्रोतों से संक्रमित सॉफ्टवेयर डाउनलोड
• वैध वेबसाइटों और सोशल मीडिया पर मैलवर्टाइजिंग

एक बार इंस्टॉल होने के बाद, ये प्रोग्राम डेटा एकत्र करने के लिए विभिन्न तकनीकों का उपयोग करते हैं:

• Keylogging: आपके द्वारा की गई हर keystroke को रिकॉर्ड करना
• Form grabbing: एन्क्रिप्शन से पहले डेटा को इंटरसेप्ट करना
• Clipboard hijacking: कॉपी की गई जानकारी चुराना
• Browser session hijacking: कुकीज़ और टोकन कैप्चर करना
• Screen capturing: महत्वपूर्ण क्षणों पर स्क्रीनशॉट लेना
• Credential dumping: सहेजे गए ब्राउज़र पासवर्ड निकालना
• Crypto wallet harvesting: प्राइवेट keys चुराना

चोरी की गई जानकारी को फिर “stealer logs” में पैकेज किया जाता है और साइबर क्राइम मार्केटप्लेस पर बेचा जाता है या अंडरग्राउंड चैनलों के माध्यम से साझा किया जाता है।

निष्कर्ष

जबकि Google का बुनियादी ढांचा सुरक्षित रहता है, यह उल्लंघन विकसित खतरे के परिदृश्य को उजागर करता है जहां हमलावर कॉर्पोरेट सर्वर के बजाय व्यक्तिगत उपयोगकर्ताओं को लक्षित करते हैं। 18.3 करोड़ समझौता किए गए क्रेडेंशियल एक कठोर अनुस्मारक के रूप में काम करते हैं कि व्यक्तिगत साइबर सुरक्षा स्वच्छता—अद्वितीय पासवर्ड का उपयोग करना, बहु-कारक प्रमाणीकरण सक्षम करना, और मैलवेयर के खिलाफ सतर्क रहना—पहले से कहीं अधिक महत्वपूर्ण है।

कार्रवाई करने के लिए प्रतीक्षा न करें। Have I Been Pwned पर अपना एक्सपोजर जांचें, अपने क्रेडेंशियल्स अपडेट करें, और आज ही अपनी खाता सुरक्षा को मजबूत करें।