WebRTC लीक: यह आपके असली IP पते को कैसे उजागर करता है

आपका वीपीएन चालू है। एग्जिट नोड बताता है कि आप ज्यूरिख में हैं। आपका वॉलेट गुमनाम महसूस कर रहा है। और फिर भी, आपके ब्राउज़र में मौजूद एक फ़ीचर चुपके से किसी वेबसाइट को आपका असली आईपी एड्रेस बता देता है - वही आईपी एड्रेस जो आपके घर और नाम से जुड़ा है। यह फ़ीचर वेबआरटीसी है, और इससे पैदा होने वाली इस खामी को वेबआरटीसी लीक कहा जाता है।

अधिकांश लोगों के लिए, यह निजता से जुड़ी एक मामूली परेशानी है। क्रिप्टो रखने वाले किसी भी व्यक्ति के लिए, यह उस कड़ी की पहली कड़ी है जो अंत में किसी अजनबी को यह जानने तक ले जाती है कि कौन सा वॉलेट किस कंपनी का है। यह गाइड उस कड़ी के बाकी हिस्सों को विस्तार से समझाती है: वेबआरटीसी लीक क्या है, यह वीपीएन से कैसे बच निकलता है, इसकी जांच कैसे करें और हर ब्राउज़र में इसे कैसे रोकें। और यह भी कि जैसे ही आपका ब्राउज़र किसी वॉलेट से जुड़ता है, यह समस्या और भी गंभीर क्यों हो जाती है।

वेबआरटीसी लीक क्या है और यह क्यों होता है?

WebRTC का मतलब वेब रियल-टाइम कम्युनिकेशन है। सरल शब्दों में कहें तो, यह वह बुनियादी प्रणाली है जो ब्राउज़रों को बिना किसी प्लगइन के वीडियो कॉल, वॉइस चैट और फ़ाइल ट्रांसफर करने की सुविधा देती है, और यह लगभग 2011 से सभी प्रमुख ब्राउज़रों में मौजूद है। लेकिन असली समस्या यहाँ है। दो लोगों को सीधे जोड़ने के लिए, दोनों पक्षों को एक-दूसरे का IP पता जानना ज़रूरी होता है। यह कोई त्रुटि नहीं है। यह तो पूरी प्रक्रिया का हिस्सा है।

दिक्कत यह है कि कोई भी वेबसाइट इसे ट्रिगर कर सकती है। एक पेज बैकग्राउंड में WebRTC कनेक्शन खोलता है। यह आपके ब्राउज़र द्वारा दिए गए IP एड्रेस को पढ़ता है। कोई अनुमति नहीं मांगी जाती। कोई निशान भी दिखाई नहीं देता। VPN के पीछे ऐसा करें, फिर भी आपका असली IP एड्रेस दिखाई देगा, और यही WebRTC लीक है। यह कोई नई बात नहीं है। डेवलपर डेनियल रोस्लर ने जनवरी 2015 में एक कारगर प्रूफ ऑफ कॉन्सेप्ट पोस्ट किया था , जिसमें VPN उपयोगकर्ताओं के ब्राउज़र से सीधे असली IP एड्रेस निकाले गए थे। दस साल बाद भी, इस मैकेनिज्म में कोई खास बदलाव नहीं आया है।

इसकी सबसे खतरनाक बात यह है कि यह कितनी खामोशी से काम करता है। कोई पॉप-अप नहीं, कोई अनुमति मांगने वाला प्रॉम्प्ट नहीं, एड्रेस बार में कुछ भी नहीं। यह रिक्वेस्ट कभी भी नेटवर्क लॉग में दिखाई नहीं देती, जिसे कोई आम इंसान चेक करना चाहेगा, और ऐड ब्लॉकर भी इसे अनदेखा कर देते हैं, क्योंकि ब्राउज़र को यह एक सामान्य WebRTC सेटअप लगता है, न कि कोई ट्रैकर। इसलिए आप एक साथ पेड VPN, एक साफ ब्राउज़र और एक ऐड ब्लॉकर चला सकते हैं, और फिर भी आपका असली एड्रेस उस पहले पेज को मिल जाएगा जो इसे मांगता है। अदृश्य और सामान्य: यही वजह है कि यह लीक दस साल से छिपा हुआ है।

यह लीक कैसे काम करता है: STUN, NAT और आपका IP

यह समझने के लिए कि वीपीएन आपको वेबआरटीसी लीक से स्वचालित रूप से क्यों नहीं बचाता है, यह देखना मददगार होता है कि ब्राउज़र वास्तव में पर्दे के पीछे क्या कर रहा है।

STUN और ICE, तंत्र

ज़्यादातर डिवाइस NAT (नेटवर्क एड्रेस ट्रांसलेशन) करने वाले राउटर के पीछे होते हैं, इसलिए आपके कंप्यूटर को अपना पब्लिक एड्रेस नहीं पता होता। इसे पता लगाने के लिए WebRTC एक सहायक टूल, STUN सर्वर का इस्तेमाल करता है। ब्राउज़र STUN सर्वर से एक आसान सवाल पूछता है: "आप जहां हैं, वहां से आपको मेरा पता क्या दिख रहा है?" सर्वर आपके पब्लिक IP एड्रेस के साथ जवाब देता है। WebRTC इन जवाबों को इकट्ठा करता है, जिन्हें ICE कैंडिडेट कहा जाता है, और उन्हें लिस्ट करता है ताकि दूसरा कंप्यूटर रूट चुन सके। कोई भी जासूसी करने वाली वेबसाइट बस उस लिस्ट को पढ़ लेती है। खेल खत्म।

यह क्यों मायने रखता है? क्योंकि पूरा STUN एक्सचेंज जावास्क्रिप्ट में चलता है जिसे कोई भी पेज चला सकता है। इसमें कैमरा या लोकेशन के लिए दिखने वाले डायलॉग बॉक्स की तरह कोई डायलॉग बॉक्स नहीं होता। स्क्रिप्ट एक पीयर कनेक्शन खोलती है। यह ब्राउज़र द्वारा उत्पन्न ICE उम्मीदवारों को इकट्ठा करती है। यह सूची से पते पढ़ती है। यह सब कुछ पलक झपकते ही हो जाता है, और ब्राउज़र को कुछ भी गलत नहीं लगता। यह बस वही काम करता है जिसके लिए WebRTC बनाया गया है।

सार्वजनिक आईपी बनाम स्थानीय आईपी

WebRTC दो अलग-अलग पते दे सकता है, और उनसे अलग-अलग जानकारी मिलती है। आपका सार्वजनिक IP पता आपके अनुमानित स्थान और इंटरनेट सेवा प्रदाता की जानकारी देता है। आपका स्थानीय IP — जैसे 192.168.1.7 — आपके घर या दफ्तर के नेटवर्क का नक्शा बनाता है। इनमें से कोई भी जानकारी किसी अनजान वेबसाइट के हाथ में नहीं होनी चाहिए। लेकिन आपको सार्वजनिक IP पते के बारे में ज़्यादा चिंता करनी चाहिए, क्योंकि यह आपको वास्तविक दुनिया से जोड़ता है: एक शहर, एक सेवा प्रदाता, और अंततः एक दरवाज़ा।

वीपीएन इसे क्यों नहीं रोक पाता?

वीपीएन आपके सामान्य ट्रैफ़िक को रीडायरेक्ट करता है। समस्या यह है कि एसटीयूएन अनुरोध उस टनल से बाहर निकलकर सीधे एसटीयूएन सर्वर तक पहुँच सकता है और आपके असली सार्वजनिक आईपी को लेकर वापस आ सकता है। ब्राउज़रों ने 2019 और 2020 में इस समस्या के कुछ हिस्से को ठीक किया, जिसमें स्थानीय आईपी को एक स्क्रैम्बल किए गए एमडीएनएस होस्टनेम से बदल दिया गया। यह मददगार तो है, लेकिन यह केवल स्थानीय आईपी को ही छुपाता है। एसटीयूएन से प्राप्त सार्वजनिक आईपी अभी भी लीक हो सकता है। इससे भी बुरी बात यह है कि जैसे ही किसी साइट को माइक्रोफ़ोन या कैमरा की अनुमति मिलती है, यह मास्किंग अक्सर टूट जाती है। इसलिए यह लीक वहीं बनी रहती है जहाँ ज़्यादातर लोग खुद को सुरक्षित मानते हैं।

WebRTC लीक टेस्ट को सही तरीके से कैसे चलाएं

जांच में लगभग एक मिनट लगता है, और आपको किसी की बात पर विश्वास करने की आवश्यकता नहीं है।

वीपीएन बंद करके शुरुआत करें और अपने कनेक्शन द्वारा दिखाए गए सार्वजनिक आईपी को लिख लें। अब वीपीएन चालू करें और एक वेबआरटीसी लीक परीक्षण पृष्ठ खोलें, जैसे browserleaks.com/webrtc या ipleak.net। तुलना करें। यदि वीपीएन ठीक से काम कर रहा है और कोई आईपी लीक नहीं है, तो आपको केवल वीपीएन का पता दिखाई देगा। यदि पहले चरण वाला नंबर पृष्ठ पर कहीं भी दिखाई देता है, तो आपको अपना लीक मिल गया है। आपके ब्राउज़र द्वारा उजागर की जाने वाली सभी जानकारियों की पूरी जानकारी के लिए, ब्राउज़रलीक्स गाइड में बताए गए व्यापक जांचों के लिए भी यही तरीका लागू होता है।

WebRTC लीक की जाँच करते समय कुछ चीज़ें लोगों को भ्रमित कर सकती हैं। आपको एक स्थानीय IP एड्रेस दिखाई दे सकता है जो .local पर समाप्त होने वाली एक अव्यवस्थित स्ट्रिंग जैसा दिखता है। घबराएँ नहीं; यह mDNS मास्किंग का काम है, कोई लीक नहीं। महत्वपूर्ण एड्रेस सार्वजनिक एड्रेस है। उसी ब्राउज़र और प्रोफ़ाइल में परीक्षण करें जिसका उपयोग आप किसी भी संवेदनशील गतिविधि के लिए करते हैं। सेटिंग्स और एक्सटेंशन उनमें स्थानांतरित नहीं होते हैं। और प्रत्येक ब्राउज़र अपडेट के बाद इसे फिर से चलाएँ, क्योंकि कोई पैच चुपचाप इन सेटिंग्स को वापस बदल सकता है।

कौन से ब्राउज़र आपकी आईपी जानकारी लीक करते हैं और कौन से नहीं।

सभी ब्राउज़र वेबआरटीसी लीक को एक ही तरीके से हैंडल नहीं करते हैं, और ये अंतर इसलिए मायने रखते हैं क्योंकि बाजार किस तरह से विभाजित है।

Chrome अपनी व्यापक पहुंच के कारण इस समस्या की जड़ में है। मई 2026 तक वैश्विक ब्राउज़र बाज़ार में इसकी हिस्सेदारी लगभग 70% थी, और इसमें WebRTC द्वारा आपके IP पते को लीक होने से रोकने के लिए कोई अंतर्निहित विकल्प नहीं है। Firefox, जिसकी हिस्सेदारी लगभग 2% है, डिफ़ॉल्ट रूप से सार्वजनिक IP लीक करता है, हालांकि कम से कम इसमें एक सेटिंग में इस सुविधा को बंद करने का विकल्प तो है। Brave एक उम्मीद की किरण है। सितंबर 2025 में इसके मासिक सक्रिय उपयोगकर्ताओं की संख्या 101 मिलियन से अधिक हो गई, और यह एकमात्र मुख्यधारा का Chromium ब्राउज़र है जो WebRTC सुरक्षा को डिफ़ॉल्ट रूप से चालू रखता है। और Tor? Tor पीयर कनेक्शन को पूरी तरह से अक्षम करके इस समस्या से बच जाता है, और यही कारण है कि गोपनीयता शोधकर्ता नए उपयोगकर्ताओं को इसकी ओर आकर्षित करते रहते हैं।

WebRTC को कैसे निष्क्रिय करें और डेटा लीक को कैसे रोकें

इसे बंद करने के दो तरीके हैं। या तो WebRTC को पूरी तरह से बंद कर दें, या इसे इस तरह से सीमित कर दें कि यह केवल आपके द्वारा चुने गए पते को ही देख सके। आप कौन सा तरीका चुनते हैं, यह इस बात पर निर्भर करता है कि आप वास्तव में अपने ब्राउज़र में वीडियो कॉल करते हैं या नहीं। यहाँ प्रत्येक ब्राउज़र के लिए व्यावहारिक तरीका बताया गया है।

क्रोम और एज

Chrome थोड़ा अटपटा है। इसके मेनू में WebRTC को बंद करने का कोई सीधा विकल्प नहीं है, इसलिए इसे ब्लॉक करने के लिए आपको एक एक्सटेंशन की ज़रूरत होगी। Google का अपना WebRTC नेटवर्क लिमिटर है। यह आपकी कॉल को बाधित किए बिना जोखिम भरे IP एड्रेस को ब्लॉक कर देता है। अगर आप इससे भी आसान तरीका चाहते हैं, तो WebRTC कंट्रोल एक क्लिक में इसे बंद कर देता है। Microsoft Edge भी उसी Chromium इंजन पर चलता है, इसलिए ये एक्सटेंशन वहां भी काम करते हैं, लेकिन इसमें edge://flags पर एक उपयोगी फ्लैग भी छिपा होता है जो आपके लोकल IP को गुमनाम कर देता है।

फ़ायरफ़ॉक्स

फ़ायरफ़ॉक्स में यह आसान है। एड्रेस बार में about:config टाइप करें, चेतावनी को अनदेखा करें, media.peerconnection.enabled ढूंढें और इसे false पर सेट कर दें। बस इतना ही। WebRTC बंद हो गया। लेकिन ध्यान दें: जब तक आप इसे वापस चालू नहीं करते, तब तक ब्राउज़र में वीडियो और वॉइस कॉल काम नहीं करेंगे।

सफारी और ओपेरा

Safari डिफ़ॉल्ट रूप से ज़्यादा सुरक्षित है, और आप Develop मेनू में Experimental Features के तहत WebRTC को और भी सुरक्षित बना सकते हैं। Opera Chromium पर चलता है, इसलिए यह उन्हीं एक्सटेंशन का उपयोग करता है जो Chrome में काम करते हैं।

वीपीएन का उपयोग करना और इसके फायदे और नुकसान

फिर वीपीएन का विकल्प आता है। अगर आप असली लीक प्रोटेक्शन वाला वीपीएन इस्तेमाल करते हैं, तो यह वेबआरटीसी ट्रैफिक को अपने टनल के ज़रिए भेजता है, जिससे एसटीयूएन सर्वर को सिर्फ़ वीपीएन का पता ही दिखता है। यह सबसे सुरक्षित विकल्प है, क्योंकि आपकी कॉल चलती रहती हैं, और एक भरोसेमंद प्रॉक्सी सर्वर भी इसी तरह आईपी लीक को रोक सकता है। लेकिन इसमें भरोसे की बात है। हर वीपीएन ऐसा नहीं करता। 2018 में जब वॉयडसेक ने 70 वीपीएन प्रोवाइडर्स का परीक्षण किया, तो उनमें से 16 वीपीएन वेबआरटीसी के ज़रिए असली आईपी लीक कर रहे थे। लगभग 23%। अच्छे वीपीएन ने तब से इस समस्या को ठीक कर लिया है, लेकिन सबक यही है: जांच करें, अंदाज़ा न लगाएं। पूरी तरह सुरक्षित तरीका चाहते हैं? तो वेबआरटीसी को पूरी तरह से बंद कर दें। बस याद रखें कि इससे वेबआरटीसी पर निर्भर कोई भी चीज़ काम करना बंद कर देगी।

वेबआरटीसी लीक से क्रिप्टो धारकों को खतरा क्यों है?

क्रिप्टो उपयोगकर्ता के लिए, एक उजागर आईपी गोपनीयता का मामूली मामला नहीं है। यह आपके ऑनलाइन जीवन और आपके वास्तविक जीवन के बीच की सीमा रेखा है। और हाल ही में यह सीमा रेखा खतरनाक हो गई है।

आईपी-टू-वॉलेट किल चेन

ब्लॉकचेन पते छद्मनाम होते हैं, गुमनाम नहीं। आपके द्वारा किए गए सभी लेन-देन सार्वजनिक रूप से उपलब्ध होते हैं। केवल एक चीज जो इसे आपकी पहचान से बचाती है, वह है एक पहचान का अभाव: एक नाम, एक स्थान। आईपी एक पहचान का काम करता है। और शोधकर्ताओं ने एक दशक से भी पहले इस संबंध को व्यावहारिक रूप से सिद्ध कर दिया था। 2014 के एक अध्ययन में, एलेक्जेंड्रे बिरयुकोव और उनके सहयोगियों ने कुछ चुनिंदा नोड्स का उपयोग करके बिटकॉइन छद्मनामों को उन आईपी पतों से जोड़ा, जिन्होंने सबसे पहले उनके लेन-देन को प्रसारित किया था। वेबआरटीसी लीक से हमलावर को वही संबंध मुफ्त में मिल जाता है। जब आपका वास्तविक आईपी उजागर हो, तब ब्लॉक एक्सप्लोरर या डेक्स खोलें, और एक ही पेज आपके द्वारा देखे जा रहे वॉलेट को आपके घर और आपके सेवा प्रदाता से जोड़ सकता है।

और खतरा और भी बढ़ जाता है, क्योंकि डेटा लीक होने पर ही लेन-देन रुकना ज़रूरी नहीं है। बस एक बार, किसी भी ऐसे पेज पर जहां कोई खतरनाक स्क्रिप्ट चल रही हो, और आप बैलेंस चेक कर रहे हों या कोई मार्केटप्लेस ब्राउज़ कर रहे हों, तब लीक हो जाए। उसके बाद? आईपी एड्रेस की तुलना आईएसपी रिकॉर्ड, डेटा-ब्रोकर प्रोफाइल और पुराने डेटा लीक से की जाती है। देर-सवेर नाम पक्का हो ही जाता है। वॉलेट तो हमेशा से ही सार्वजनिक था। लीक ने बस उसे एक नाम दे दिया।

अनाम पहचान उजागर होने से लेकर दरवाजे पर दस्तक तक

यह पहले एक काल्पनिक चिंता हुआ करती थी। लेकिन अब ऐसा नहीं है। उद्योग के आंकड़ों के अनुसार , 2025 में तथाकथित "रिंच अटैक" (जिनमें खाताधारकों से चाबियां छीनने के लिए उन्हें लूटा या अगवा किया जाता है) में लगभग 75% की वृद्धि हुई, जिसमें 72 पुष्ट घटनाएं हुईं और कम से कम 41 मिलियन डॉलर की चोरी हुई। इसका तरीका लगभग अपरिवर्तित है: हमलावर किसी वास्तविक व्यक्ति को किसी वास्तविक पते पर स्थापित करने के लिए, ऑनलाइन मौजूद संपत्ति को ऑफ-चेन पहचान के साथ जोड़ते हैं। आपका आईपी उस दूसरे हिस्से को सुरक्षित करने के सबसे स्पष्ट तरीकों में से एक है।

ज़रा सोचिए, हमलावर की नज़र से। उन्हें पहले से ही पता है कि किन वॉलेट में असली पैसा है; यह जानकारी सार्वजनिक है। लेकिन उन्हें किसी बड़े पते से सीधे किसी व्यक्ति तक पहुँचने का रास्ता नहीं पता। एक आईपी एड्रेस से खोज का दायरा पूरे इंटरनेट से घटकर किसी शहर, किसी इंटरनेट सेवा प्रदाता (आईएसपी) या अक्सर किसी एक मोहल्ले तक सीमित हो जाता है। बाकी का काम तो बस आम तौर पर करना होता है। एक आम ब्राउज़र के लिए, इस तरह की जानकारी लीक होना कोई बड़ी बात नहीं है। लेकिन जिसके पास लाखों डॉलर की रकम है, उसके लिए यह एक छद्म नाम और एक लक्षित व्यक्ति के बीच का अंतर है। इसी अंतर के कारण क्रिप्टो उपयोगकर्ताओं को वेबआरटीसी लीक की शिकायत सुरक्षा के तहत करनी चाहिए, न कि ऑनलाइन गोपनीयता की प्राथमिकता के तहत।

आपका आईपी नंबर व्यक्तिगत डेटा है।

इसमें एक कानूनी पहलू भी है। 2016 में, यूरोपीय न्यायालय ने ब्रेयर मामले में फैसला सुनाया था कि एक गतिशील आईपी पता भी व्यक्तिगत डेटा माना जाता है, बशर्ते कोई व्यक्ति इसका उपयोग करके आपकी पहचान दोबारा कर सके। इस तर्क के अनुसार, कोई साइट वेबआरटीसी के माध्यम से चुपचाप आपके आईपी पते को स्क्रैप कर रही है, जो आपकी सहमति के बिना व्यक्तिगत डेटा को संसाधित कर रही है। इससे समस्या का समाधान तो नहीं होता, लेकिन इससे यह पता चलता है कि नियामक आपके ब्राउज़र द्वारा मुफ्त में दी जाने वाली इस जानकारी को कितनी गंभीरता से लेते हैं।

रिसाव होने से पहले ही उसे बंद कर दें।

WebRTC लीक चुपचाप होता है, इसके लिए किसी अनुमति की आवश्यकता नहीं होती, और केवल VPN से भी आप इससे सुरक्षित नहीं रह सकते। इसलिए अपनी सुरक्षा को मजबूत करें। ऐसा ब्राउज़र चुनें जो डिफ़ॉल्ट रूप से आपकी सुरक्षा करता हो, या यदि ब्राउज़र WebRTC सुरक्षा प्रदान नहीं करता है तो उसे बंद कर दें। अपने IP को छिपाने के लिए लीक टेस्ट पास करने वाला VPN चलाएं। हर अपडेट के बाद दोबारा जांच करें। फंड ट्रांसफर करने वालों के लिए लक्ष्य स्पष्ट और सरल है: अपने वॉलेट और IP के बीच संबंध बनने से रोकें, क्योंकि एक बार यह संबंध बन जाने पर इसे वापस नहीं लिया जा सकता। तो आपने आखिरी बार कब जांच की थी कि आपका ब्राउज़र वास्तव में क्या लीक कर रहा है?

Simon Chartan

A journalist with a strong technical background and a passion for decentralized finance. With degrees in MBA and Master of Engineering in Data Science, the author combines analytical expertise with a clear, engaging writing style. At Plisio, they cover topics such as cryptocurrency, blockchain, DeFi, and digital finance—helping readers make sense of a rapidly evolving fintech landscape.