2025 की शुरुआत में ब्रिटेन की मशहूर रिटेल कंपनी Marks & Spencer (M&S) अचानक एक बड़े साइबरहमले की चपेट में आ गई थी, जिसके चलते उसके ऑनलाइन कारोबार में बड़े विकलांगताएं हुईं, ग्राहकों को परेशानी हुई और उसे अनुमानित £300 मिलियन (लगभग ₹३,३१८ कॉटि) के Operating Profit का नुकसान झेलना पड़ा। इस हमले के बाद यह चर्चित हो गया कि भारतीय आईटी सेवा कंपनी Tata Consultancy Services (TCS) जो M&S की तकनीकी भागीदार रही है, क्या इस घटना में शामिल थी या नहीं।
लेकिन अभी हाल-ही में TCS ने यह स्पष्ट किया है कि वहाँ “गलत सूचना और तथ्यात्मक त्रुटियाँ” हैं, और उसने कहा है कि उसकी कंपनी इस हमले के संबंध में दोषी नहीं है तथा उसने M&S को साइबर-सुरक्षा सेवाएं नहीं दी थीं।
आईए इस पूरी घटना, दोनों पक्षों के बयानों, और अब सामने आए सफाई-बयानों को समझें:
हमला और M&S की स्थिति
M&S ने अप्रैल 2025 में घोषणा की थी कि एक “साइबर इन्सिडेंट” हुआ है, जिसमें उसके ऑनलाइन ऑर्डर, “Click & Collect” सेवा, और कुछ स्टोर्स में संपर्क-रहित पेमेंट्स प्रभावित हुए। कंपनी की तरफ से बताया गया कि यह हमला सरल नहीं था — उन्होंने कहा कि हैकर्स ने सीधे M&S के डिजिटल बचाव को नहीं तोड़ा, बल्कि एक तीसरी-पार्टी कांट्रैक्टर के जरिए प्रवेश पाया।
M&S के मुख्य कार्यकारी Stuart Machin ने कहा कि यह भेद्यता तकनीकी प्रणाली की दोषपूर्णता से नहीं हुई बल्कि “सोशल इंजीनियरिंग” यानी मानवीय चतुराई के माध्यम से हुई थी — जिसमें किसी तीसरे पक्ष को ठगकर सिस्टम में प्रवेश मिला। आंकड़ों के अनुसार, इस हमले के कारण M&S को इस वर्ष में लगभग £300 मिलियन का नुकसान हो सकता है।
TCS का इतिहास और M&S के साथ रिश्ता
TCS ने पहले कहा था कि वह पिछले दस वर्षों से M&S के साथ कई तकनीकी सेवाओं में साझेदारी कर रही थी। 2023 में एक समाचार में यह भी कहा गया था कि TCS ने M&S के विशाल तकनीकी ठेके (लगभग $1 बिलियन) हासिल किए थे, जिसमें सप्लाई-चेन, ऑनलाइन बिक्री और क्लाउड-पहले रणनीति शामिल थी।
इसलिए जब हमला हुआ, तो स्वाभाविक रूप से यह सवाल उठा कि क्या TCS के नेटवर्क या सेवाओं के माध्यम से हैकर्स ने M&S में प्रवेश किया था। TCS ने तुरंत नहीं बल्कि कुछ समय के बाद सार्वजनिक बयान दिया कि “हमारे किसी सिस्टम या उपयोगकर्ता को समझौता नहीं हुआ”।
आरोप-परिस्थिति: TCS क्या कह रहा है?
TCS ने हाल ही में अपने एनएसई (National Stock Exchange) में दाखिल फाइलिंग में कहा है कि ब्रिटिश अखबार The Telegraph में जो रिपोर्ट प्रकाशित हुई थी, वह “गुमराह करने वाली है, जिसमें तथ्यात्मक त्रुटियाँ हैं”। उन्होंने विशेष रूप से यह स्पष्ट किया कि:
-
TCS M&S को साइबर-सुरक्षा सेवा (cyber security services) नहीं देती।
-
TCS का सेवा-डेस्क (service desk) व्यवसाय M&S के साथ उसकी व्यापक भागीदारी का एक बहुत ही छोटा हिस्सा है।
-
सेवा-डेस्क का RFP (Competitive Request for Proposal) जनवरी 2025 में शुरू हुआ था, और M&S ने हमले के बहुत पहले इस RFP के तहत अन्य पार्टनर्स के साथ आगे बढ़ने का निर्णय लिया था। इसलिए वह बदलाव और साइबरहमला स्पष्ट रूप से असंबंधित हैं।
TCS ने कहा है: “हम इस बात पर गर्व करते हैं कि M&S के साथ हमारी लंबे समय से साझेदारी है और हम इस साझेदारी को जारी रख रहे हैं।”
रिपोर्ट्स और मीडिया में क्या कहा गया?
मीडिया में यह खबर आई थी कि M&S ने TCS को अपने सेवा-डेस्क कॉन्ट्रैक्ट से हटा दिया है, लगभग 10 अक्टूबर 2025 के आसपास। इस खबर ने चर्चा को और आगे बढ़ा दिया कि क्या यह निर्णय साइबरहमले के चलते लिया गया था।
लेकिन TCS ने इसे खारिज करते हुए कहा कि यह निर्णय हमले से पहले RFP के माध्यम से लिया गया था और इसलिए दोनों घटनाओं का कोई सीधा संबंध नहीं है।
क्यों यह मामला अहम है?
इस घटना के कई मायने हैं:
-
यह दिखाता है कि बड़ी-बड़ी रिटेल कंपनियों में तीसरे-पक्ष की तकनीकी सेवाएं कितनी महत्वपूर्ण भूमिका निभाती हैं — और कैसे उनमें सेंध लग सकती है।यह “थर्ड-पार्टी कंट्रैक्टर के माध्यम से ब्रीच” के खतरे को उजागर करता है — सिर्फ मुख्य कंपनी की सुरक्षा ही काफी नहीं है, बल्कि सब-कॉन्ट्रैक्टर्स, सेवा-डेस्क कर्मियों, और लॉग-इन एक्सेस को भी कड़ा नियंत्रित करना पड़ता है।
-
TCS जैसे बड़े आईटी सर्विस कंपनी का यह बयान कि “हम प्रभावित नहीं हुए” — इससे ग्राहकों, निवेशकों और नियामकों के भरोसे पर असर पड़ सकता है।
-
M&S जैसे ब्रांड के लिए, £300 मिलियन जैसे बड़े नुकसान का मतलब है कि साइबरसुरक्षा सिर्फ तकनीकी मामला नहीं, बल्कि बिजनेस-क्रिटिकल है — ऑपरेशनल लोस, ब्रांड इमेज, ग्राहक विश्वास सब प्रभावित होते हैं।
