अप्रैल 2025 के मध्य में ऑनलाइन इमेजबोर्ड 4chan में एक बड़ा सुरक्षा उल्लंघन हुआ, जिसकी ज़िम्मेदारी प्रतिद्वंद्वी फ़ोरम Soyjak.party से जुड़े लोगों ने ली। हमलावरों ने कथित तौर पर पुराने सर्वर सॉफ़्टवेयर की गंभीर कमज़ोरियों का फ़ायदा उठाकर प्रशासनिक विशेषाधिकार हासिल किए, निजी ईमेल और पासवर्ड सहित मॉडरेटर क्रेडेंशियल लीक किए, और पहले हटाए गए /QA/ चर्चा मंच को अस्थायी रूप से बहाल किया।
यह घटना प्लेटफ़ॉर्म के पुराने तकनीकी ढाँचे पर एक कठोर प्रकाश डालती है, जहाँ हमलावर ने कथित तौर पर “Chud” हैंडल का इस्तेमाल करते हुए Soyjak.party पर दावा किया कि उसने 14 अप्रैल के आसपास “ऑपरेशन soyclipse” को अंजाम देने से पहले एक साल से ज़्यादा समय तक पहुँच बनाए रखी थी।
दशकों पुरानी कमज़ोरियों का फ़ायदा उठाना
कई रिपोर्टों और विश्लेषणों से पता चलता है कि हमलावरों ने दशकों पुराने सॉफ़्टवेयर का फ़ायदा उठाने के लिए कम से कम दो अलग-अलग तरीक़े अपनाए। एक महत्वपूर्ण वेक्टर, जिसका प्रारंभिक विवरण नो योर मीम की रिपोर्टिंग और उपयोगकर्ता विश्लेषण में दिया गया था, में /sci/ और /tg/ जैसे बोर्डों पर उपलब्ध पीडीएफ अपलोड सुविधा में हेरफेर शामिल था।
इन रिपोर्टों के अनुसार, 4chan का सिस्टम अपलोड की गई फ़ाइल प्रकारों को ठीक से सत्यापित करने में विफल रहा, जिससे हमलावरों को .pdf एक्सटेंशन के साथ दुर्भावनापूर्ण पोस्टस्क्रिप्ट फ़ाइलें सबमिट करने का मौका मिल गया। पोस्टस्क्रिप्ट एक पृष्ठ वर्णन भाषा है जो अपनी प्रोग्रामिंग क्षमताओं के लिए जानी जाती है। इन फ़ाइलों को कथित तौर पर इमेज थंबनेल बनाने के लिए 2012 के घोस्टस्क्रिप्ट इंटरप्रेटर संस्करण द्वारा संसाधित किया गया था।
पोस्टस्क्रिप्ट और पीडीएफ फाइलों को संभालने के लिए घोस्टस्क्रिप्ट एक सामान्य उपकरण है। हमलावरों ने इस पुराने संस्करण में ज्ञात, गंभीर कमजोरियों का लाभ उठाया, संभवतः “अनुवाद सीमा विच्छेद” तकनीक का उपयोग करके, सीधे सर्वर पर कमांड निष्पादित करने के लिए, जिससे शेल एक्सेस प्राप्त हुआ। इन विशिष्ट घोस्टस्क्रिप्ट खामियों को आधुनिक, पैच किए गए संस्करणों में लंबे समय से संबोधित किया गया है।
एक दूसरी रिपोर्ट की गई भेद्यता 4chan के मुख्य PHP कोडबेस से संबंधित थी। लीक हुए स्रोत कोड के विश्लेषण से, जिसमें पोस्टिंग और मॉडरेशन के लिए ज़िम्मेदार व्यापक yotsuba.php स्क्रिप्ट भी शामिल है, यह संकेत मिला कि पुराने PHP संस्करणों के साथ-साथ अप्रचलित MySQL फ़ंक्शन का भी उपयोग किया गया था।
इस समस्या को और भी जटिल बनाते हुए, ऐसे साक्ष्य सामने आए जिनसे पता चला कि कम से कम एक सर्वर FreeBSD 10.1 चला रहा था, जो एक ऑपरेटिंग सिस्टम संस्करण है जिसे शुरू में 2014 के अंत में जारी किया गया था, और सुरक्षा सहायता के लिए 2016 में इसकी आधिकारिक समाप्ति तिथि आ गई। महत्वपूर्ण वेब इन्फ्रास्ट्रक्चर को बिना पैच वाले, असमर्थित ऑपरेटिंग सिस्टम और दशकों पुराने घटकों पर चलाना स्पष्ट और पर्याप्त सुरक्षा जोखिम प्रस्तुत करता है, जिससे सिस्टम अच्छी तरह से प्रलेखित शोषण के संपर्क में आ जाते हैं।
प्रणालीगत समस्याएँ और समझौता किया गया डेटा
अप्रचलित तकनीक पर यह निर्भरता उपेक्षित रखरखाव और तकनीकी ऋण संचय के एक पैटर्न को दर्शाती है, जो वर्तमान मालिक हिरोयुकी निशिमुरा द्वारा 2015 में साइट के अधिग्रहण के बाद और भी बदतर हो सकता है।
इस नवीनतम उल्लंघन के तत्काल परिणामों में लगभग 218 स्वयंसेवी मॉडरेटर (“सफाईकर्मी”) से संबंधित संवेदनशील डेटा का खुलासा शामिल है। लीक हुई जानकारी में कथित तौर पर ईमेल पते, पासवर्ड और आईआरसी लॉग शामिल हैं।
लीक में कई .edu ईमेल पतों की मौजूदगी की पुष्टि हुई है, हालाँकि .gov ईमेल का उल्लेख करने वाली शुरुआती सोशल मीडिया अफवाहों की पुष्टि प्रतिष्ठित स्रोतों द्वारा नहीं की गई है। साइबर सुरक्षा शोधकर्ता केविन ब्यूमोंट ने द रजिस्टर के लिए स्थिति का आकलन करते हुए कहा कि यह “SQL डेटाबेस, स्रोत और शेल एक्सेस सहित एक बहुत व्यापक [समझौता]” था। इस घटना की गंभीरता की पुष्टि करते हुए, एक अनाम 4chan मॉडरेटर ने टेकक्रंच को स्पष्ट रूप से पुष्टि की कि लीक हुआ मॉडरेटर डेटा “पूरी तरह से असली” लग रहा था।
एट्रिब्यूशन और लंबित प्रश्न
/qa/ बोर्ड, जो 2021 में प्रतिबंधित एक समुदाय था और जिसके अधिकांश उपयोगकर्ता Soyjak.party का हिस्सा थे, की बहाली, इस हमले के संभावित प्रतिशोधात्मक उद्देश्य की ओर इशारा करती है। यह घटना पहले की सुरक्षा समस्याओं के बाद हुई है, जैसे कि 2014 में संस्थापक क्रिस्टोफर पूल द्वारा पुष्टि किए गए मॉडरेटर क्रेडेंशियल्स से छेड़छाड़ से जुड़ी एक हैक।
वर्तमान उल्लंघन प्लेटफ़ॉर्म की पुनर्प्राप्ति क्षमता और मॉडरेटर की जानकारी और आंतरिक डेटा के उजागर होने से उत्पन्न होने वाले संभावित दीर्घकालिक जोखिमों पर सवाल खड़े करता है, जबकि कथित हैकर ने कहा था कि उपयोगकर्ता डेटा लक्ष्य नहीं था। इस खुलासे के बाद, 4chan को आंशिक रूप से सेवा में धीरे-धीरे वापस आने से पहले लंबे समय तक डाउनटाइम का सामना करना पड़ा।
स्रोत: विनबज़र / डिग्पू न्यूज़टेक्स