16 अरब पासवर्ड लीक: कैसे चेक करें कि आप प्रभावित हैं या नहीं

जनवरी 2026 में, सिक्योरिटी रिसर्चर्स ने 30 असुरक्षित डेटाबेस खोजे जिनमें लगभग 16 अरब यूज़रनेम-पासवर्ड जोड़े थे — इतिहास की सबसे बड़ी क्रेडेंशियल लीक। एक्सपोज़ हुए डेटा में Google, Apple, Facebook, GitHub, Telegram और यहां तक कि सरकारी प्लेटफॉर्म के लॉगिन क्रेडेंशियल्स शामिल हैं।

अगर आप इंटरनेट इस्तेमाल करते हैं, तो इस बात की काफी संभावना है कि आपके क्रेडेंशियल्स इस लीक में हैं।

क्या लीक हुआ

लीक में शामिल है:

• 30 डेटासेट में 16 अरब लॉगिन क्रेडेंशियल्स
• कुछ डेटासेट में प्रत्येक में 3.5 अरब तक रिकॉर्ड
• लगभग हर बड़ी ऑनलाइन सर्विस के क्रेडेंशियल्स
• पुराने ब्रीच डेटा और ताज़े इन्फोस्टीलर लॉग दोनों
• कई मामलों में सेशन टोकन, कुकीज़ और मेटाडेटा भी

यह सिर्फ पुरानी ब्रीच से रीसायकल्ड डेटा नहीं है। रिसर्चर्स ने नए संकलित, स्ट्रक्चर्ड डेटा पाया जो एक्सप्लॉइटेशन के लिए तैयार था — जिसमें एक्टिव सेशन टोकन वाले हाल के इन्फोस्टीलर मालवेयर लॉग भी शामिल हैं।

कैसे चेक करें कि आप प्रभावित हैं

स्टेप 1: Have I Been Pwned चेक करें

haveibeenpwned.com पर जाएं और अपने ईमेल एड्रेस डालें। यह डेटाबेस नियमित रूप से ब्रीच डेटा से अपडेट होता है और आपको बताएगा कि कौन सी ब्रीच में आपके क्रेडेंशियल्स शामिल हैं।

स्टेप 2: अपने पासवर्ड मैनेजर का ब्रीच मॉनिटर इस्तेमाल करें

ज्यादातर पासवर्ड मैनेजर ब्रीच मॉनिटरिंग ऑफर करते हैं:

• 1Password: Watchtower कॉम्प्रोमाइज्ड अकाउंट्स के बारे में अलर्ट करता है
• Bitwarden: डेटा ब्रीच रिपोर्ट एक्सपोज़्ड क्रेडेंशियल्स दिखाती है
• Dashlane: डार्क वेब मॉनिटरिंग आपकी जानकारी स्कैन करती है
• Google पासवर्ड मैनेजर: passwords.google.com पर पासवर्ड चेक करें

स्टेप 3: भारतीय सर्विसेज की सिक्योरिटी चेक करें

भारतीय यूज़र्स के लिए:

1. Paytm/PhonePe/GPay: सेटिंग्स में लॉगिन हिस्ट्री चेक करें
2. बैंकिंग ऐप्स: हाल की लॉगिन एक्टिविटी देखें
3. अगर संदिग्ध एक्सेस मिले, तुरंत पासवर्ड बदलें

स्टेप 4: फाइनेंशियल अकाउंट्स मॉनिटर करें

भले ही आपका ईमेल ज्ञात लीक में न दिखे, अनऑथराइज्ड एक्टिविटी के लिए अपने बैंक और क्रेडिट कार्ड स्टेटमेंट मॉनिटर करें। अटैकर्स अक्सर पहले फाइनेंशियल सर्विसेज पर क्रेडेंशियल्स टेस्ट करते हैं।

अगर आप कॉम्प्रोमाइज्ड हैं तो क्या करें

तुरंत एक्शन

1. कॉम्प्रोमाइज्ड पासवर्ड तुरंत बदलें

अपने सबसे क्रिटिकल अकाउंट्स से शुरू करें:

• ईमेल अकाउंट्स (पासवर्ड रीसेट के लिए इस्तेमाल होते हैं)
• बैंकिंग और फाइनेंशियल सर्विसेज
• क्लाउड स्टोरेज (Google Drive, iCloud, Dropbox)
• सोशल मीडिया अकाउंट्स

2. हर जगह टू-फैक्टर ऑथेंटिकेशन इनेबल करें

भले ही अटैकर्स के पास आपका पासवर्ड हो, 2FA अनऑथराइज्ड एक्सेस ब्लॉक करता है:

• SMS के बजाय ऑथेंटिकेटर ऐप्स (Google Authenticator, Authy) इस्तेमाल करें
• क्रिटिकल अकाउंट्स के लिए हार्डवेयर कीज़ (YubiKey) पर विचार करें
• पहले अपने ईमेल पर 2FA इनेबल करें — यह बाकी सब की मास्टर की है

3. अनऑथराइज्ड एक्सेस चेक करें

अपने अकाउंट्स पर हाल की एक्टिविटी रिव्यू करें:

• Google: myactivity.google.com
• WhatsApp: Settings → Linked Devices
• Facebook: Settings → Security → Where you're logged in

4. संदिग्ध सेशन्स रिवोक करें

उन सभी डिवाइसेस और सेशन्स से लॉग आउट करें जो आप पहचान नहीं पाते। ज्यादातर सर्विसेज में "सभी डिवाइसेज से लॉग आउट" ऑप्शन होता है।

लॉन्ग-टर्म प्रोटेक्शन

हर अकाउंट के लिए यूनिक पासवर्ड इस्तेमाल करें

क्रेडेंशियल लीक्स खतरनाक होने का कारण पासवर्ड रीयूज़ है। अगर आप कई साइट्स पर एक ही पासवर्ड इस्तेमाल करते हैं, तो एक ब्रीच सब कॉम्प्रोमाइज कर देती है।

हर अकाउंट के लिए यूनिक, स्ट्रॉन्ग पासवर्ड जेनरेट और स्टोर करने के लिए पासवर्ड मैनेजर इस्तेमाल करें।

पासकीज़ पर स्विच करने पर विचार करें

पासकीज़ फिशिंग-रेजिस्टेंट हैं और डेटा ब्रीच में लीक नहीं हो सकतीं:

• Google, Apple और Microsoft अब पासकीज़ सपोर्ट करते हैं
• वे पासवर्ड के बजाय बायोमेट्रिक ऑथेंटिकेशन (फिंगरप्रिंट, फेस) इस्तेमाल करती हैं
• कोई पासवर्ड नहीं मतलब चुराने को कुछ नहीं

ब्रीच अलर्ट्स सेट करें

• Have I Been Pwned से नोटिफिकेशन इनेबल करें
• अपने पासवर्ड मैनेजर की ब्रीच मॉनिटरिंग ऑन करें
• Google का डार्क वेब मॉनिटरिंग सेट करें

आगे क्रेडेंशियल्स सेफली कैसे शेयर करें

क्रेडेंशियल्स ब्रीच में खत्म होने का एक कारण अनसेफ शेयरिंग प्रैक्टिसेज हैं। लोग पासवर्ड पेस्ट करते हैं:

• WhatsApp या Slack मैसेजेस में (सर्वर्स पर स्टोर होते हैं)
• ईमेल में (अक्सर अनएन्क्रिप्टेड, सर्चेबल)
• टेक्स्ट मैसेजेस में (क्लाउड में बैकअप होते हैं)
• शेयर्ड डॉक्यूमेंट्स में (परसिस्टेंट एक्सेस)

सिक्योर, एक्सपायरिंग चैनल्स इस्तेमाल करें

जब आपको किसी के साथ पासवर्ड शेयर करना हो:

1. नॉर्मल मैसेजिंग से पासवर्ड प्लेन टेक्स्ट में कभी न भेजें
2. अगर दोनों पार्टीज़ एक ही मैनेजर इस्तेमाल करती हैं तो पासवर्ड मैनेजर की शेयरिंग फीचर इस्तेमाल करें
3. वन-टाइम शेयरिंग के लिए सेल्फ-डिस्ट्रक्टिंग सिक्योर नोट्स इस्तेमाल करें

LOCK.PUB जैसी सर्विसेज आपको पासवर्ड-प्रोटेक्टेड नोट बनाने देती हैं जो:

• एक बार पढ़ने के बाद सेल्फ-डिस्ट्रक्ट होता है
• सेट टाइम (1 घंटा, 24 घंटे) के बाद एक्सपायर होता है
• देखने के बाद दोबारा एक्सेस नहीं किया जा सकता

उदाहरण वर्कफ्लो:

• पासवर्ड के साथ सिक्योर नोट बनाएं
• 1 घंटे में एक्सपायर होने के लिए सेट करें
• एक चैनल से लिंक भेजें
• दूसरे चैनल से एक्सेस पासवर्ड भेजें
• देखने के बाद क्रेडेंशियल कभी रिट्रीव नहीं किया जा सकता

बड़ी तस्वीर

यह 16 अरब क्रेडेंशियल लीक एक बड़ी समस्या का लक्षण है: पासवर्ड फंडामेंटली टूटे हुए हैं।

मुख्य आंकड़े:

• 94% पासवर्ड अकाउंट्स में रीयूज़ होते हैं
• केवल 3% पासवर्ड NIST कॉम्प्लेक्सिटी रिक्वायरमेंट्स पूरी करते हैं
• क्रेडेंशियल-बेस्ड अटैक्स लगभग आधी ब्रीचेज़ का कारण हैं

इंडस्ट्री पासकीज़ और पासवर्डलेस ऑथेंटिकेशन की तरफ बढ़ रही है। तब तक:

• हर जगह यूनिक पासवर्ड इस्तेमाल करें
• सभी अकाउंट्स पर 2FA इनेबल करें
• रेगुलरली ब्रीचेज़ मॉनिटर करें
• क्रेडेंशियल्स केवल सिक्योर, एक्सपायरिंग चैनल्स से शेयर करें

अभी चेक करें

अनऑथराइज्ड चार्जेस या लॉक्ड अकाउंट्स नोटिस होने तक इंतज़ार न करें। आज 10 मिनट निकालें:

1. haveibeenpwned.com पर अपने ईमेल एड्रेस चेक करें
2. अपने पासवर्ड मैनेजर की ब्रीच रिपोर्ट रन करें
3. अपने टॉप 10 सबसे इम्पोर्टेंट अकाउंट्स पर 2FA इनेबल करें
4. ब्रीचेज़ में दिखने वाले पासवर्ड बदलें

लीक पहले ही हो चुकी है। अब जो मायने रखता है वो है आप कितनी जल्दी रिस्पॉन्ड करते हैं।

सेल्फ-डिस्ट्रक्टिंग सिक्योर नोट्स से क्रेडेंशियल्स सेफली शेयर करें →