27 अक्टूबर 2025। इ-कॉमर्स स्टार्टअप Dukaan के एक सार्वजनिक रूप से सुलभ सर्वर में बड़ी सुरक्षा चूक मिलने से कंपनी के हजारों व्यापारी और लाखों ग्राहक जोखिम में पड़ गए। साइबरन्यूज़ के शोधकर्ता बताते हैं कि यह नाजुक इंस्टेंस अगस्त 2023 से इंटरनेट पर अनुक्रमित था — यानी संवेदनशील डेटा दो साल से ज्यादा समय तक बिना रोक-टोके उपलब्ध रहा।

मुख्य बातें
• Dukaan के एक खुले Apache Kafka ब्रोकर ने प्रतिदिन 2.7 लाख से अधिक ऑर्डर-रिलेटेड संदेश सार्वजनिक रूप से भेजे।
• इस स्ट्रीम में Stripe, PayPal और RazorPay जैसे पेमेंट प्रोसेसर के प्रमाणीकरण टोकन भी शामिल थे।
• लीक हुए डेटा में ग्राहक और ऑर्डर विवरण, नाम, ईमेल, फोन, पते और स्टोर-विशेष जानकारी शामिल है।
• शोधकर्ता मानते हैं कि इससे हमलावर नकली पेमेंट, जाल रिफंड और लगातार छोटे-छोटे वित्तीय दुरुपयोग कर के करोड़ों डॉलर तक निकाल सकते थे।
• कंपनी और भारत के CERT को रिपोर्ट किया गया; बाद में डेटा सुरक्षित कर लिया गया, पर Dukaan की आधिकारिक टिप्पणी लेख प्रकाशित होने तक नहीं मिली।

क्या आखिर लीक हुआ और क्यों खतरनाक है
साधारण ग्राहक जानकारी से बड़ा डरवाना हिस्सा वह था जिसमें भुगतान गेटवे के ऑथ टोकन शामिल थे। ये टोकन सीधे व्यापारी के पेमेंट-प्रोसेसर खाते तक पहुँच दे सकते हैं। किसी के हाथ लगने पर हमलावर:

कार्ड डिटेल या भुगतान जानकारी निकाल सकते थे।

नकली पेमैंट अथवा अनधिकृत रिफंड पास कर के फ़ंड ट्रांसफर कर सकते थे।

व्यापारी के लेनदेन इतिहास का दुरुपयोग कर लक्षित फ्रॉड प्लान कर सकते थे।

इन तरीकों से छोटे स्तर के लगातार संचालन से समय के साथ बड़ा वित्तीय नुकसान संभव है। शोधकर्ताओं ने चेतावनी दी कि समस्या का दो साल तक पकड़ा न जाना हमलावरों को लंबी अवधि के लिए लगातार फ़ायदा देने जैसा था।

कितना बड़ा असर हो सकता था
Dukaan के मुताबिक़ कंपनी दुनिया भर में 35 लाख से अधिक व्यापारियों को होस्ट करती है और 1.6 करोड़ विशिष्ट ग्राहकों तक पहुंच रखती है। इस तरह के उपयोगकर्ता बेस के साथ किसी भी प्रकार का बैंकिंग-टोकन या निजी डेटा लीक होने पर पैमाना बहुत बड़ा हो जाता है।

तकनीकी विफलता कैसे हुई
साइबरन्यूज़ की टीम ने सार्वजनिक Kafka ब्रोकर का पता लगाया जो Dukaan के सिस्टम से निरंतर डेटा खींच रहा था। इस तरह के खुले ब्रोकर का मतलब है कि कोई भी उस स्ट्रीम को सब्स्क्राइब कर के डेटा पढ़ सकता था। शोधकर्ता बताते हैं कि छोटे परीक्षण ऑर्डर चलाकर हमलावर वास्तविक लेनदेन लॉग ट्रिगर कर सकते थे और भुगतान टोकन निकाल सकते थे — यानी हमला पहले से सोचा-समझा और स्वचालित हो सकता था।

कंपनी की प्रतिक्रिया और अगला कदम
रिपोर्ट के अनुसार Dukaan और भारत का CERT सूचित कर दिया गया। कंपनी ने बाद में उस इंस्टेंस को सुरक्षित कर लिया। लेख प्रकाशित होने तक Dukaan की तरफ़ से कोई सार्वजनिक स्पष्टीकरण नहीं आया।

आप क्या कर सकते हैं (व्यापारी/ग्राहक के रूप में)
• व्यापारी: अपने पेमेंट प्रोवाइडर के साथ तुरंत टोकन/API की स्थिरता जाँचें और आवश्यक हो तो टोकन रोटेट करें। अतिरिक्त लॉग मॉनिटरिंग और अनियमित गतिविधि अलर्ट चालू रखें।
• ग्राहक: अपने बैंक/कार्ड स्टेटमेंट्स पर असामान्य लेनदेन देखें। संदिग्ध गतिविधि दिखे तो बैंक से संपर्क कर कार्ड ब्लॉक करवा दें।
• सभी: फ़िशिंग और लक्षित सोशल इंजीनियरिंग से सावधान रहें; लीक्ड ईमेल/फोन नंबर से आने वाले संदिग्ध संदेशों पर क्लिक न करें।

यह घटना एक बार फिर साफ़ करती है कि क्लाउड और मैसेजिंग इन्फ्रास्ट्रक्चर की गलत कॉन्फ़िगरेशन कंपनियों को कितना भारी पड़ सकती है। Dukaan केस में समय का नुकसान ही सबसे चिंताजनक है — दो साल तक खुला रहने वाला डेटा किसी भी सुरक्षा टीम के लिए रेड अलार्म होना चाहिए। कंपनी ने इंस्टेंस सुरक्षित कर लिया, पर प्रभाव का दायरा और किसने, कब तक और क्या निकाला — यह अभी तक स्पष्ट नहीं हुआ है।