बिलियन्स कौन हैं?
बिलियन लोगों का नाम अभी भी अज्ञात है। बिलियन्स पहली बार मई 2025 की शुरुआत में साइबर सुरक्षा मंचों पर दिखाई दिए; हैकर समुदाय में, इसे “जोखिम डेवलपर” और अन्य लोगों द्वारा “साइबर विजिलेंट” कहा जाता है। उन्होंने कहा कि उपयोगकर्ता किसी भी राज्य प्रायोजित समूह या हैकिंग सामूहिक से नहीं जुड़ा है।
इसके बजाय, वे स्वतंत्र रूप से कार्य करने का दावा करते हैं, जो “केंद्रीकृत प्रणालियों में कमज़ोरियों को उजागर करने और बेहतर डिजिटल जवाबदेही की मांग करने” की इच्छा से प्रेरित है।
बिलियनों को दोषी ठहराया गया एक अनाम ब्लॉग पोस्ट से एक सीधा उद्धरण पढ़ता है:
यह फिरौती नहीं है। यह अराजकता नहीं है। यह सबूत है। आप में से कोई भी Google पर हमला कर सकता है अगर वह ऐसा कर सकता है।
प्रशंसा: क्या वास्तव में उल्लंघन हुआ?
बिलियन्स द्वारा जारी किए गए दस्तावेजों, जिनमें से कुछ को तीसरे पक्ष के साइबर सुरक्षा विशेषज्ञों द्वारा आंशिक रूप से प्रमाणित किया गया है, बताते हैं कि कथित धोखाधड़ी में निम्नलिखित शामिल हैं:
सेवा प्रमाणीकरण के लिए गलत कॉन्फ़िगर किया गया आंतरिक API
OAuth2 टोकन, जो असाधारण रूप से व्यापक आंतरिक Google क्लाउड रिपॉजिटरी पहुँच प्रदान करते हैं
संवेदनशील लॉग, प्रोजेक्ट मेटाडेटा और उपयोगकर्ता-पर्यावरण बिल्ड फ़ाइलों का खतरा
पढ़ने-लिखने की पहुँच, जिसे Google के स्टेजिंग वातावरण से जुड़ा माना जाता है
हालाँकि अभी तक कोई सबूत नहीं है कि उपयोगकर्ता डेटा (जैसे डॉक्स, फोटो या जीमेल) तक पहुँच हुई है, बैकएंड कोड में हेरफेर करने या उत्पादन पाइपलाइनों में हस्तक्षेप करने की संभावना बहुत बड़ी है।
गूगल Gmail की पहली प्रतिक्रिया
Google ने अभी तक कोई सार्वजनिक घोषणा नहीं दी है, लेकिन विभिन्न साइबर सुरक्षा पत्रकारों से बात करने वाले आंतरिक स्रोतों ने यह पुष्टि की है:
आंतरिक प्रणालियों का विस्तृत परीक्षण शुरू हो गया है।
संबंधित रिपॉजिटरी पर अस्थायी प्रतिबंध लगाया गया है।
कई प्रणालियों में एक्सेस कुंजी और टोकन घुमाए गए हैं।
Google की सुरक्षा और गोपनीयता इंजीनियरिंग (SPE) शाखा जांच की अगुवाई करती है।
साथ ही, बग बाउंटी शोधकर्ताओं ने बताया कि कुछ Git रिपॉजिटरीज़ अस्थायी रूप से बंद हो गए हैं, शायद एक रोकथाम प्रोटोकॉल का हिस्सा होने के कारण।
कानूनी और नैतिक मुद्दे
प्रकटीकरण के तरीके पर विचार-विमर्श हुआ है। Google के प्रसिद्ध वल्नरेबिलिटी रिवॉर्ड प्रोग्राम (VRP), जिसने 50 मिलियन डॉलर से अधिक की पुरस्कार राशि दी है, के माध्यम से जाने के बजाय, बिलियन ने शोषण के सबूत सार्वजनिक रूप से जारी किए, जो कानूनी कार्रवाई और दुर्भावनापूर्ण अभिनेताओं द्वारा शोषण का खतरा पैदा करता है।
साइबर सुरक्षा कानून विशेषज्ञ डॉ. रीना अरोड़ा ने बताया:
बिलियन लोग नैतिक उद्देश्यों का दावा कर सकते हैं, लेकिन संरक्षित बुनियादी ढांचे तक अनधिकृत पहुंच, यहां तक कि खामियों को उजागर करने के लिए भी, लगभग हर देश में कंप्यूटर दुरुपयोग कानूनों का उल्लंघन है। ”
यह घटना वैश्विक साइबर कानून व्यवस्था का परीक्षण कर सकती है और इस बारे में सवाल उठा सकती है कि क्या मौजूदा प्रणाली हैकर्स और व्हिसलब्लोअर्स को सही ढंग से सुरक्षित करती है या नहीं।
Google के संभावित परिणाम
तकनीकी विवरण
यदि चोरी ने वास्तव में Google के भंडारण और CI/CD प्रणालियों तक पहुँच दी है, तो कोड विषाक्तता या पिछले दरवाजे से प्रविष्टि का खतरा बहुत वास्तविक है।
आंतरिक बिल्ड का अवलोकन करने की क्षमता से अप्रकाशित सुविधाओं, API कुंजियों और आंतरिक परीक्षण डेटा का पता लगाया जा सकता है, भले ही कोई परिवर्तन न हो।
प्रतिष्ठा खोना
उपयोगकर्ता अपने ईमेल से लेकर क्लाउड फ़ाइलों तक सब कुछ प्रबंधित करने के लिए Google पर भरोसा करते हैं। उल्लंघन – भले ही आंतरिक हो – उपभोक्ता विश्वास को कम कर सकता है, खासकर उद्यम वातावरण में।
विनियामक अध्ययन
यूरोप में जीडीपीआर और नए डिजिटल इंडिया साइबर सुरक्षा विधेयक के साथ, नियामक पारदर्शिता की मांग कर सकते हैं और सुरक्षा प्रोटोकॉल की उपेक्षा कर सकते हैं।
