15 अप्रैल 2026 को, फ्रांस की राष्ट्रीय सुरक्षित दस्तावेज़ एजेंसी (ANTS) एक बड़े डेटा उल्लंघन का शिकार हुई। गृह मंत्रालय के आधिकारिक आंकड़ों के अनुसार, लगभग 1.17 करोड़ खाते प्रभावित हुए। लेकिन "breach3d" नाम के एक हैकर ने, जिसने साइबर अपराध फोरम पर डेटाबेस बिक्री के लिए रखा, दावा किया कि वास्तविक संख्या 1.8 से 1.9 करोड़ रिकॉर्ड तक हो सकती है। यह एक अभूतपूर्व साइबर हमला है जो सीधे उन लाखों फ्रांसीसी नागरिकों को प्रभावित करता है जिन्होंने ऑनलाइन प्रशासनिक प्रक्रियाएं की थीं: पासपोर्ट, राष्ट्रीय पहचान पत्र, ड्राइविंग लाइसेंस।

वास्तव में क्या हुआ?

ANTS पोर्टल ants.gouv.fr का प्रबंधन करती है, जो फ्रांस में सभी सुरक्षित दस्तावेज़ आवेदनों के लिए आधिकारिक प्लेटफ़ॉर्म है। हर साल, लाखों नागरिक अपने पहचान पत्र, पासपोर्ट या ड्राइविंग लाइसेंस आवेदनों की स्थिति ट्रैक करने के लिए वहां खाता बनाते हैं।

इस्तेमाल की गई कमज़ोरी IDOR (असुरक्षित प्रत्यक्ष ऑब्जेक्ट संदर्भ) प्रकार की है, जो एक विशेष रूप से धोखेबाज़ सुरक्षा खामी है। इसने किसी दुर्भावनापूर्ण व्यक्ति को API को भेजे गए अनुरोधों में एक संख्यात्मक पहचानकर्ता को बदलकर, बिना किसी प्राधिकरण जांच के, अन्य उपयोगकर्ताओं के डेटा तक पहुंचने की अनुमति दी।

इस प्रकार की कमज़ोरी सुरक्षा विशेषज्ञों को अच्छी तरह से पता है, लेकिन दुर्भाग्यवश सार्वजनिक सूचना प्रणालियों में अभी भी बहुत आम है। CNIL (फ्रांसीसी डेटा सुरक्षा प्राधिकरण) को तुरंत सूचित किया गया और पेरिस के लोक अभियोजक को एक रिपोर्ट भेजी गई। जांच साइबर अपराध विरोधी कार्यालय (OFAC) को सौंपी गई।

कौन से डेटा चुराए गए?

उजागर जानकारी विशेष रूप से संवेदनशील है, क्योंकि यह नागरिक स्थिति डेटा और व्यक्तिगत संपर्क विवरण को जोड़ती है:

• नाम और उपनाम
• जन्म तिथि
• डाक पता
• ईमेल पता
• फोन नंबर

ये तत्व अत्यधिक लक्षित धोखाधड़ी बनाने के लिए पर्याप्त हैं। संयुक्त रूप से, ये पहचान चोरी, अति-व्यक्तिगत फ़िशिंग प्रयास (नकली SMS, प्रशासन का ढोंग करने वाले नकली ईमेल), और यहां तक कि धोखाधड़ी से बैंक खाते खोलने या ऑनलाइन क्रेडिट आवेदन के प्रयास की अनुमति देते हैं।

क्या मैं प्रभावित हूं?

यदि आपने अपने पहचान पत्र, पासपोर्ट या ड्राइविंग लाइसेंस को नवीनीकृत करने के लिए ants.gouv.fr पर कभी भी खाता बनाया है, तो आप बहुत संभावना के साथ प्रभावित लोगों में से एक हैं। ANTS ने घोषणा की है कि वह उन उपयोगकर्ताओं को प्रत्यक्ष सूचनाएं भेजेगी जिनके खातों की पहचान समझौता किए गए के रूप में की गई है।

आप Have I Been Pwned (haveibeenpwned.com) जैसे विशेषज्ञ प्लेटफ़ॉर्म पर भी जांच कर सकते हैं कि क्या आपका ईमेल पता ज्ञात हैक किए गए डेटाबेस में दिखाई देता है।

तुरंत अपनाने वाले सही कदम

इस उल्लंघन के मद्देनज़र, बिना देर किए ये ठोस कदम उठाएं:

1. अपना ANTS पासवर्ड बदलें

ants.gouv.fr पर जाएं और अपना पासवर्ड बदलें। यदि आप इसी पासवर्ड का उपयोग अन्य साइटों पर भी करते हैं (जो अनुशंसित नहीं है), तो उसे हर जगह बदलें। जहां भी संभव हो, दोहरी प्रमाणीकरण (2FA) सक्षम करने का अवसर लें।

2. प्राप्त संदेशों के प्रति अत्यंत सतर्क रहें

आने वाले हफ्तों में, ANTS, कर विभाग, किसी बैंक या टेलीफोन ऑपरेटर से आने का दावा करने वाले किसी भी ईमेल, SMS या फ़ोन कॉल से सावधान रहें। हैकर यह डेटा फ़िशिंग में माहिर ठगों को बेचते हैं।

स्वर्णिम नियम: कोई भी आधिकारिक संस्था SMS या ईमेल के माध्यम से आपका पासवर्ड, बैंकिंग विवरण या धनराशि हस्तांतरण कभी नहीं मांगेगी।

3. अपनी डिजिटल पहचान पर नज़र रखें

Cybermalveillance.gouv.fr जैसी सेवाएं साइबर हमलों के पीड़ितों के लिए मुफ्त संसाधन प्रदान करती हैं। आपकी पहचान के धोखाधड़ी से उपयोग के प्रयास के मामले में अलर्ट सेवाएं भी मौजूद हैं।

4. धोखाधड़ी के किसी भी प्रयास की रिपोर्ट करें

यदि आपको कोई संदिग्ध संदेश मिलता है या आपको लगता है कि आप इस हैकिंग से जुड़ी धोखाधड़ी के शिकार हो रहे हैं, तो cybermalveillance.gouv.fr पर या thesee.interieur.gouv.fr के माध्यम से सीधे पुलिस को रिपोर्ट करें।

इस साइबर हमले से क्या सबक मिलता है?

यह बड़े पैमाने का उल्लंघन एक असुविधाजनक वास्तविकता की याद दिलाता है: सरकारी प्लेटफ़ॉर्म भी साइबर हमलों से सुरक्षित नहीं हैं। इस्तेमाल की गई IDOR कमज़ोरी OWASP Top 10 जैसे सुरक्षा मानकों में वर्षों से अच्छी तरह से प्रलेखित है। लाखों फ्रांसीसी नागरिकों के पहचान दस्तावेज़ों का प्रबंधन करने वाली सेवा में इसकी उपस्थिति पूर्व सुरक्षा ऑडिट के बारे में गंभीर सवाल उठाती है।

यह प्रत्येक नागरिक के लिए डिजिटल स्वच्छता प्रथाओं को अपनाने की आवश्यकता को भी रेखांकित करती है: अद्वितीय और जटिल पासवर्ड, दोहरी प्रमाणीकरण, अनचाहे संदेशों के प्रति सतर्कता। ऐसी दुनिया में जहां हमारा डेटा सर्वर से सर्वर पर जाता है, डिजिटल सावधानी अब एक विकल्प नहीं, बल्कि एक आवश्यकता है।

न्यायिक जांच जारी है। आने वाले हफ्तों में गृह मंत्रालय की वेबसाइट और ants.gouv.fr पर नियमित अपडेट की उम्मीद है।