સાવધાન! ફર્જી DigiLocker એપ્સથી રહો દૂર, સરકારે આપી ગંભીર ચેતવણી; આ રીતે કરો સાચી એપની ઓળખ
નવેમ્બરના અંતમાં અને ડિસેમ્બર 2025 ની શરૂઆતમાં વૈશ્વિક સાયબર સુરક્ષા લેન્ડસ્કેપમાં ગંભીર જોખમોનો સામનો કરવો પડ્યો, જેમાં મોટી ઘટનાઓએ મહત્વપૂર્ણ જાહેર સેવાઓ, રમતગમત સંગઠનો અને લાખો વ્યક્તિગત નાગરિકોને અસર કરી. આ ઘટનાઓએ કેન્દ્રિયકૃત IT આર્કિટેક્ચર, લેગસી સિસ્ટમ્સ અને વપરાશકર્તા તકેદારીમાં પ્રણાલીગત નબળાઈઓને પ્રકાશિત કરી.
સંકલિત રેન્સમવેર હુમલાથી લંડન બરો અપંગ
28 નવેમ્બર, 2025 ના રોજ લંડનના ઓછામાં ઓછા આઠ બરોના શેર કરેલ IT ઇન્ફ્રાસ્ટ્રક્ચરને લક્ષ્ય બનાવ્યું, જેનાથી જાહેર સેવાઓનું ગંભીર રીતે નુકસાન થયું. આ ઘટનાને રેન્સમવેર ઝુંબેશ તરીકે ઓળખવામાં આવી.
ઓપરેશનલ ઇમ્પેક્ટ વિશ્લેષણ:
આ હુમલાને કારણે શેર કરેલ સર્વર્સમાં ડેટા એસેટ્સના વ્યાપક એન્ક્રિપ્શનનું કારણ બન્યું અને પ્રાથમિક વ્યવસાયિક એપ્લિકેશનો અને નાગરિક પોર્ટલોનો પ્રણાલીગત આઉટેજ થયો. નિર્ણાયક રીતે, મહત્વપૂર્ણ નાણાકીય સહાય અને વૈધાનિક કાર્યો સ્થગિત કરવામાં આવ્યા, જેના કારણે સેવાઓ પર અસર પડી જેમ કે:
Protect your important documents using only the authentic DigiLocker application. Fraudulent apps with similar names are being circulated on app stores to mislead users.
If you have already installed a suspicious version, delete it immediately and change your passwords for… pic.twitter.com/v6wjeninzA
— Digital India (@_DigitalIndia) November 29, 2025
હાઉસિંગ રિપેર પ્લેટફોર્મ.
બેનિફિટ્સ પ્રોસેસિંગ સિસ્ટમ્સ (હાઉસિંગ બેનિફિટ, કાઉન્સિલ ટેક્સ સપોર્ટ).
પ્લાનિંગ એપ્લિકેશન પોર્ટલ.
આ હુમલો જાહેર ક્ષેત્રના સંદર્ભમાં સોફ્ટવેર સપ્લાય ચેઇન હુમલાનું પાઠ્યપુસ્તક ઉદાહરણ માનવામાં આવે છે. ધમકી આપનારાઓએ લંડન કાઉન્સિલ દ્વારા પૂરા પાડવામાં આવેલા શેર્ડ-સર્વિસીસ મોડેલમાં રહેલી નિષ્ફળતાના એકલ બિંદુઓનો ઉપયોગ કર્યો, જેના કારણે એક મોટી નિષ્ફળતા સર્જાઈ જેણે એકસાથે બધા કનેક્ટેડ બરો પર અસર કરી. આ ઘટના રાષ્ટ્રીય સ્તરે ફેલાઈ ગઈ છે, જેમાં નેશનલ સાયબર સિક્યુરિટી સેન્ટર (NCSC) અને નેશનલ ક્રાઈમ એજન્સી (NCA)નો સમાવેશ થાય છે.
ફ્રેન્ચ ફૂટબોલ ફેડરેશન ત્રીજા મુખ્ય ડેટા ભંગનો ભોગ બને છે
ફ્રેન્ચ ફૂટબોલ ફેડરેશન (FFF) એ 20 નવેમ્બર, 2025 ના રોજ ત્રીજા મોટા ડેટા ભંગની પુષ્ટિ કરી, જેમાં ખેલાડીઓ અને અન્ય સભ્યોની વ્યક્તિગત વિગતોનો ખુલાસો થયો. આ નવીનતમ ભંગ “હેલિઓસ” ક્લબ મેનેજમેન્ટ સોફ્ટવેરમાં જાણીતી નબળાઈનો ઉપયોગ કરે છે.
આ હુમલાને “ડિજિટલ ચોરી” તરીકે વર્ણવવામાં આવ્યું હતું જેમાં એક જ ચેડા કરાયેલા વપરાશકર્તા ખાતામાં “અમાનવીય ગતિ” થી ડેટા બહાર કાઢવામાં આવ્યો હતો. “હેલિઓસ” સોફ્ટવેર, જે વ્યાવસાયિક યુવા એકેડેમીથી લઈને ગ્રામીણ કલાપ્રેમી પક્ષો સુધી બધું જ સંચાલિત કરે છે, તે વૃદ્ધત્વ કોડ પર બનાવવામાં આવ્યું હતું, જેમાં એક આંતરિક અહેવાલમાં સુરક્ષા પ્રોટોકોલ ફક્ત “2010 ના દાયકાની શરૂઆતમાં માટે પૂરતા” તરીકે વર્ણવવામાં આવ્યા હતા.
શું ખોવાઈ ગયું:
- ચોરાયેલો ડેટા દૂષિત ખેલાડીઓને માહિતીનો “સોનાની ખાણ” આપે છે. તેમાં શામેલ છે:
- સ્વયંસેવક કોચ (જેમ કે જીન-લુક) ના નામ, ઘરના સરનામાં અને વ્યક્તિગત ફોન નંબર.
FFF લાઇસન્સ નંબર.
યુવાન ખેલાડીઓ (જેમ કે સોફી) માટે જન્મ તારીખ અને સ્થળ, રાષ્ટ્રીયતા અને માતાપિતાની સંપર્ક માહિતી.
આ એક્સપોઝર ખતરનાક ગૌણ હુમલાઓને સરળ બનાવે છે, જેમાં હાઇપર-ટાર્ગેટેડ ફિશિંગ (ભાલા ફિશિંગ) અને સોશિયલ એન્જિનિયરિંગનો સમાવેશ થાય છે. જ્યારે FFF એ સભ્યોને ખાતરી આપી હતી કે “પાસવર્ડ અને બેંક વિગતો સુરક્ષિત છે,” ત્યારે ચોરાયેલો ડેટા અનુગામી હુમલાઓને વિશ્વસનીય બનાવવા માટે જરૂરી આવશ્યક સંદર્ભ પૂરો પાડે છે. પ્રમુખ ફિલિપ ડાયલોએ જાહેરમાં સ્વીકાર્યું કે કટોકટી લાંબા સમયથી ચાલતી સાંસ્કૃતિક સમસ્યાનું લક્ષણ છે: IT માં દાયકાઓથી ઓછું રોકાણ.
સરકારે નકલી DigiLocker એપ્લિકેશનો પર તાત્કાલિક ચેતવણી જારી કરી
ભારત સરકારે 29 નવેમ્બર, 2025 ના રોજ શેર કરેલી એક સલાહકાર જારી કરી, જેમાં વપરાશકર્તાઓને એપ સ્ટોર્સ પર ફરતી નકલી DigiLocker એપ્લિકેશનો પ્રત્યે ચેતવણી આપવામાં આવી. ડિજિટલ ઇન્ડિયાના સત્તાવાર એકાઉન્ટ દ્વારા ઇલેક્ટ્રોનિક્સ અને માહિતી ટેકનોલોજી મંત્રાલય (MeitY) દ્વારા જારી કરાયેલી સલાહમાં ચેતવણી આપવામાં આવી છે કે આ કપટી એપ્લિકેશનો વપરાશકર્તાઓને ગેરમાર્ગે દોરવા અને વ્યક્તિગત ડેટા ચોરી કરવા માટે રચાયેલ છે.
DigiLocker ભારતીય નાગરિકો માટે ડિજિટલ દસ્તાવેજ વોલેટ તરીકે કાર્ય કરે છે, જે તેમને PAN કાર્ડ, આધાર કાર્ડ, ડ્રાઇવિંગ લાઇસન્સ, શૈક્ષણિક રેકોર્ડ અને વાહન નોંધણી પ્રમાણપત્રો સહિત આવશ્યક ભૌતિક દસ્તાવેજોની ડિજિટલ નકલો સાચવવાની મંજૂરી આપે છે. જો આ જરૂરી દસ્તાવેજો નકલી એપ્લિકેશન પર અપલોડ કરવામાં આવે છે, તો તે ગોપનીયતા અને સુરક્ષા માટે નોંધપાત્ર જોખમ ઊભું કરે છે.
વપરાશકર્તાઓ માટે સલાહ:
જે વપરાશકર્તાઓએ ભૂલથી એપ્લિકેશનનું શંકાસ્પદ સંસ્કરણ ઇન્સ્ટોલ કર્યું છે તેમને સલાહ આપવામાં આવે છે કે તેઓ તાત્કાલિક તેમના ફોનમાંથી એપ્લિકેશન કાઢી નાખે અને કોઈપણ લિંક કરેલા એકાઉન્ટ્સ માટે પાસવર્ડ બદલે.
અધિકૃત એપ્લિકેશનને ઓળખવા માટે, વપરાશકર્તાઓએ બે મુખ્ય માહિતી ચકાસવી જોઈએ:
- સત્તાવાર એપ્લિકેશન નામ: DigiLocker.
- સત્તાવાર વિકાસકર્તા: રાષ્ટ્રીય ઈ-ગવર્નન્સ વિભાગ (NeGD), ભારત સરકાર.
- છુપાયેલા રહસ્યો: બિટબકેટ રિપોઝીટરીઓમાં 12 વર્ષ જૂના ઓળખપત્રો શોધાયા
વધુ પ્રણાલીગત જોખમ પર ભાર મૂકતા, સુરક્ષા ઇજનેર લ્યુક માર્શલ દ્વારા હાથ ધરવામાં આવેલા સંશોધનમાં જાણવા મળ્યું કે સ્થાપિત એન્ટરપ્રાઇઝ કોડ પ્લેટફોર્મ હુમલાખોરો માટે એક અવગણવામાં આવેલી સોનાની ખાણ છે, જે લાંબા સમયથી ભૂલી ગયેલા, ખૂબ જ અસરકારક ઓળખપત્રોને આશ્રય આપે છે.
માર્શલ દ્વારા 2,636,562 જાહેર બિટબકેટ ક્લાઉડ રિપોઝીટરીઓના મોટા પાયે સ્કેનથી 6,212 ચકાસાયેલ જીવંત રહસ્યો મળ્યા. આ ઉચ્ચ-અસરવાળા લીક થયેલા ઓળખપત્રોમાં GCP, AWS IAM, MongoDB અને 247 માન્ય એટલાસિયન ઓળખપત્રો (જીરા, બિટબકેટ, ઓપ્સજેની) જેવી સેવાઓ માટેના રહસ્યો શામેલ હતા.
સંશોધનમાં દર્શાવવામાં આવ્યું હતું કે “રહસ્યો સડતા નથી”. ખાસ કરીને ચિંતાજનક શોધ એ 12 વર્ષ પહેલાં (જૂન 2013) પ્રતિબદ્ધ જીવંત AWS કીની શોધ હતી, જે સાબિત કરે છે કે ભૂતકાળમાં ખુલ્લા ઓળખપત્રો સક્રિય રીતે રદ ન થાય ત્યાં સુધી ખતરો રહે છે. સુરક્ષા ટીમોને ભારપૂર્વક સલાહ આપવામાં આવે છે કે જો કોઈ ભંડારમાં કોઈ રહસ્ય મળી આવે, તો તેમણે સમાધાન કરવાનું માની લેવું જોઈએ અને તાત્કાલિક ઓળખપત્ર રદ કરવું જોઈએ અને ફેરવવું જોઈએ. ફક્ત Git ઇતિહાસમાંથી વસ્તુને દૂર કરવી પૂરતું નથી.
