विज्ञापन
2012 में, लिंक्डइन को एक अज्ञात रूसी संस्था ने हैक किया था, और छह मिलियन उपयोगकर्ता क्रेडेंशियल ऑनलाइन लीक हो गए थे। चार साल बाद, यह पता चला कि हैक था दूर हम पहले से भी बदतर थे। एक रिपोर्ट में वाइस मदरबोर्ड द्वारा प्रकाशित, पीस नामक हैकर बिटकॉइन में $ 2,200 के लिए डार्क वेब पर 117 मिलियन लिंक्डइन क्रेडेंशियल्स बेच रहा है।
जबकि यह एपिसोड लिंक्डइन के लिए एक निरंतर सिरदर्द है, यह उन हजारों उपयोगकर्ताओं के लिए अनिवार्य रूप से बदतर होगा जिनके डेटा को ऑनलाइन तोड़ दिया गया है। मेरी मदद करने के लिए यह समझ में आता है केविन शाज़ी; एक प्रमुख सुरक्षा विशेषज्ञ, और सीईओ और संस्थापक LogMeOnce.
लिंक्डइन लीक को समझना: यह वास्तव में कितना बुरा है?
केविन के साथ बैठकर, सबसे पहले उन्होंने इस लीक की व्यापकता पर जोर दिया। “यदि 117 मिलियन लीक हुए क्रेडेंशियल्स का आंकड़ा विशाल दिख रहा है, तो आपको खुद को फिर से संगठित करने की आवश्यकता है। 2012 की पहली तिमाही में, लिंक्डइन में कुल 161 मिलियन सदस्य थे। इसका मतलब यह है कि उस समय हैकर्स ने केवल 117 मिलियन रिकॉर्ड नहीं बनाए थे। ”
"संक्षेप में, उन्होंने लिंक्डइन के पूरे डेटाबेस की सदस्यता का 73% हिस्सा छीन लिया।"
ये नंबर अपने लिए बोलते हैं। यदि आप डेटा को शुद्ध रूप से रिकॉर्ड किए गए रिकॉर्ड के अनुसार मापते हैं, तो यह अन्य बड़े-नाम वाले हैक्स की तुलना करता है, जैसे 2011 का प्लेस्टेशन नेटवर्क रिसाव, या एशले मैडिसन पिछले साल से लीक 3 वजहों से एशले मैडिसन हैक एक गंभीर मामला हैइंटरनेट पर एश्ले मैडिसन हैक के बारे में परमानंद लगता है, लाखों व्यभिचारियों और क्षमता के साथ डेटा में पाए गए व्यक्तियों को बाहर करने वाले लेखों के साथ मिलावट करने वालों का विवरण ऑनलाइन हैक किया गया और जारी किया गया डंप। उल्लसित, सही? इतना शीघ्र नही। अधिक पढ़ें . केविन इस बात पर जोर देने के लिए उत्सुक थे कि यह हैक एक मौलिक रूप से अलग जानवर है। क्योंकि जबकि PSN हैक विशुद्ध रूप से क्रेडिट कार्ड की जानकारी प्राप्त करने के लिए था, और एशले मैडिसन हैक विशुद्ध रूप से कंपनी और उसके उपयोगकर्ताओं के लिए शर्मिंदगी का कारण था, लिंक्डइन हैक “एक व्यवसाय-केंद्रित सामाजिक नेटवर्क को अविश्वास में संलग्न करता है ”। यह लोगों को साइट पर उनकी बातचीत की अखंडता पर सवाल उठा सकता है। लिंक्डइन के लिए, यह घातक साबित हो सकता है।
खासकर जब डेटा डंप की सामग्री कंपनी की सुरक्षा नीतियों पर गंभीर सवाल उठाती है। प्रारंभिक डंप में उपयोगकर्ता क्रेडेंशियल शामिल थे, लेकिन केविन के अनुसार, उपयोगकर्ता क्रेडेंशियल्स सही ढंग से एन्क्रिप्ट नहीं किए गए थे।
“लिंक्डइन को एक आवेदन करना चाहिए था हैश और नमक प्रत्येक पासवर्ड के लिए जिसमें कुछ यादृच्छिक अक्षर जोड़ना शामिल है। यह डायनेमिक भिन्नता पासवर्ड के लिए एक टाइम एलिमेंट जोड़ती है, कि अगर चोरी हुई, तो उपयोगकर्ताओं के पास इसे बदलने के लिए पर्याप्त समय होगा। "
मैं जानना चाहता था कि हमलावरों ने डार्क वेब पर लीक होने से पहले चार साल तक इंतजार क्यों किया। केविन ने स्वीकार किया कि हमलावरों ने इसे बेचने में बहुत धैर्य दिखाया था, लेकिन इसकी संभावना थी क्योंकि वे इसके साथ प्रयोग कर रहे थे। "आपको यह मान लेना चाहिए कि उपयोगकर्ता की प्रवृत्ति, व्यवहार और अंततः पासवर्ड व्यवहार को समझने और समझने के लिए गणितीय संभावनाओं को विकसित करते हुए वे इसके चारों ओर कोडिंग कर रहे थे। यदि आप वक्र बनाने और किसी घटना का अध्ययन करने के लिए 117,000,000 वास्तविक इनपुट जमा करते हैं तो सटीकता के स्तर की कल्पना करें! ”
केविन ने यह भी कहा कि यह संभावना है कि लीक की गई क्रेडेंशियल्स का उपयोग अन्य सेवाओं जैसे कि फेसबुक और ईमेल खातों से समझौता करने के लिए किया गया था।
जाहिर है, केविन लीक को लेकर लिंक्डइन की प्रतिक्रिया के बारे में गंभीर रूप से महत्वपूर्ण है। उन्होंने इसे "बस अपर्याप्त" के रूप में वर्णित किया। उनकी सबसे बड़ी शिकायत यह है कि ऐसा होने पर कंपनी ने अपने उपयोगकर्ताओं को ब्रीच के पैमाने पर सचेत नहीं किया। पारदर्शिता, वे कहते हैं, महत्वपूर्ण है।
वह इस तथ्य को भी याद करता है कि लिंक्डइन ने अपने उपयोगकर्ताओं की सुरक्षा के लिए कोई व्यावहारिक कदम नहीं उठाया, जब रिसाव हुआ तो वापस। "अगर लिंक्डइन ने सुधारात्मक उपाय किए थे, तो पासवर्ड बदलने के लिए मजबूर किया, और फिर उपयोगकर्ताओं के साथ उन्हें सुरक्षा सर्वोत्तम प्रथाओं के बारे में शिक्षित करने के लिए काम किया, फिर ठीक था"। केविन का कहना है कि अगर लिंक्डइन ने लीक का इस्तेमाल अपने उपयोगकर्ताओं को जरूरत के बारे में शिक्षित करने के अवसर के रूप में किया मजबूत पासवर्ड बनाएं कैसे मजबूत पासवर्ड उत्पन्न करने के लिए जो आपके व्यक्तित्व से मेल खाते हैंएक मजबूत पासवर्ड के बिना आप साइबर अपराध के अंत में जल्दी से खुद को पा सकते हैं। यादगार पासवर्ड बनाने का एक तरीका यह हो सकता है कि वह आपके व्यक्तित्व से मेल खाए। अधिक पढ़ें यह पुनर्नवीनीकरण नहीं किया जाता है, और हर नब्बे दिनों में नवीनीकृत किया जाता है, डेटा डंप का आज कम मूल्य होगा।
उपयोगकर्ता खुद को बचाने के लिए क्या कर सकते हैं?
केविन अनुशंसा नहीं करते हैं कि उपयोगकर्ता डार्क वेब पर जाएं हिडन वेब में यात्रा: नए शोधकर्ताओं के लिए एक गाइडयह मैनुअल आपको गहन वेब के कई स्तरों के माध्यम से एक दौरे पर ले जाएगा: शैक्षणिक पत्रिकाओं में उपलब्ध डेटाबेस और जानकारी। अंत में, हम Tor के द्वार पर पहुंचेंगे। अधिक पढ़ें यह देखने के लिए कि क्या वे डंप में हैं। वास्तव में, उनका कहना है कि उपयोगकर्ता के पास इस बात की पुष्टि करने का कोई कारण नहीं है कि वे प्रभावित हुए हैं या नहीं। केविन के अनुसार, सभी उपयोगकर्ताओं खुद को बचाने के लिए निर्णायक कदम उठाने चाहिए।
यह जोड़ने योग्य है कि लिंक्डइन लीक निश्चित रूप से ट्रॉय हंट के लिए अपना रास्ता खोज लेगा क्या मैं प्यासा रह गया, जहां उपयोगकर्ता सुरक्षित रूप से अपनी स्थिति की जांच कर सकते हैं।
तो आपको क्या करना चाहिए? सबसे पहले, वे कहते हैं, उपयोगकर्ताओं को सभी जुड़े उपकरणों पर अपने लिंक्डइन खातों से लॉग आउट करना चाहिए, और एक डिवाइस पर अपना पासवर्ड बदलना चाहिए। इसे मजबूत बनाएं। वह अनुशंसा करता है कि लोग अपने पासवर्ड का उपयोग करके उत्पन्न करें यादृच्छिक पासवर्ड जनरेटर लिनक्स पर सुरक्षित पासवर्ड उत्पन्न करने के 5 तरीकेअपने ऑनलाइन खातों के लिए मजबूत पासवर्ड का उपयोग करना महत्वपूर्ण है। सुरक्षित पासवर्ड के बिना, दूसरों के लिए आपकी दरार करना आसान है। हालाँकि, आप अपने कंप्यूटर को अपने लिए एक चुन सकते हैं। अधिक पढ़ें .
माना जाता है कि ये लंबे, बिना पासवर्ड के होते हैं और लोगों को याद रखने में मुश्किल होते हैं। यदि आप पासवर्ड मैनेजर का उपयोग करते हैं, तो यह कहते हैं, यह एक समस्या नहीं है। "LogMeOnce सहित कई स्वतंत्र और सम्मानित व्यक्ति हैं।"
वह इस बात पर जोर देता है कि सही पासवर्ड मैनेजर चुनना महत्वपूर्ण है। “एक पासवर्ड प्रबंधक चुनें जो क्लिपबोर्ड में केवल कॉपी और पेस्ट करने के बजाय सही फ़ील्ड में पासवर्ड डालने के लिए’ इंजेक्शन ’का उपयोग करता है। यह आपको keyloggers के माध्यम से हैक हमलों से बचने में मदद करता है। ”
केविन अपने पासवर्ड मैनेजर पर एक मजबूत मास्टर पासवर्ड का उपयोग करने के महत्व पर भी जोर देता है।
“एक मास्टर पासवर्ड चुनें जो 12 से अधिक वर्णों का हो। यह आपके राज्य की कुंजी है। "$ _I लव बेसबाल $" जैसे याद रखने के लिए एक वाक्यांश का उपयोग करें। इसके टूटने में लगभग 5 सेप्टिलियन वर्ष लगते हैं ”
लोगों को सुरक्षा सर्वोत्तम प्रथाओं का भी पालन करना चाहिए। यह भी शामिल है दो-कारक प्रमाणीकरण का उपयोग दो-कारक प्रमाणीकरण के साथ अब इन सेवाओं को बंद कर देंदो-कारक प्रमाणीकरण आपके ऑनलाइन खातों की सुरक्षा का स्मार्ट तरीका है। आइए उन कुछ सेवाओं पर नज़र डालें जिन्हें आप बेहतर सुरक्षा के साथ लॉक-डाउन कर सकते हैं। अधिक पढ़ें . “टू-फैक्टर ऑथेंटिकेशन (2FA) एक सुरक्षा पद्धति है जिसके लिए उपयोगकर्ता को दो लेयर या पहचान के टुकड़े प्रदान करने की आवश्यकता होती है। इसका मतलब है कि आप रक्षा की दो परतों के साथ अपने क्रेडेंशियल्स की रक्षा करेंगे - ऐसा कुछ जिसे आप 'जानते हैं' (एक पासवर्ड), और आपके पास कुछ '(एक बार का टोकन)'।
अंत में, केविन की सिफारिश है कि लिंक्डइन उपयोगकर्ता हैक के अपने नेटवर्क में सभी को सूचित करते हैं, ताकि वे भी सुरक्षात्मक उपाय कर सकें।
एक चल रहा सिरदर्द
लिंक्डइन के डेटाबेस से सौ मिलियन से अधिक रिकॉर्ड का रिसाव एक कंपनी के लिए चल रही समस्या का प्रतिनिधित्व करता है जिसकी प्रतिष्ठा अन्य लोगों द्वारा दागी गई है हाई-प्रोफाइल सुरक्षा घोटालों. आगे क्या होता है किसी का अनुमान है।
यदि हम अपने रोड-मैप के रूप में PSN और एशले मैडिसन हैक्स का उपयोग करते हैं, तो हम लीक हुए डेटा का लाभ उठाने के लिए साइबर हैक से जुड़े साइबर अपराधियों से उम्मीद कर सकते हैं और इसका उपयोग प्रभावित उपयोगकर्ताओं को निकालने के लिए कर सकते हैं। हम लिंक्डइन से अपने उपयोगकर्ताओं से माफी मांगने की उम्मीद भी कर सकते हैं, और उन्हें कुछ-कुछ नकद, या अधिक प्रीमियम खाते में क्रेडिट की संभावना भी प्रदान कर सकते हैं - एक टोकन के रूप में। किसी भी तरह से, उपयोगकर्ताओं को सबसे खराब के लिए तैयार रहना होगा, और सक्रिय कदम उठाएं एक वार्षिक सुरक्षा और गोपनीयता जांच के साथ अपने आप को सुरक्षित रखेंनए साल में हम लगभग दो महीने हैं, लेकिन सकारात्मक संकल्प करने के लिए अभी भी समय है। कम कैफीन पीने को भूल जाओ - हम ऑनलाइन सुरक्षा और गोपनीयता की सुरक्षा के लिए कदम उठाने के बारे में बात कर रहे हैं। अधिक पढ़ें अपनी सुरक्षा के लिए।
छवि क्रेडिट: सारा जॉय फ़्लिकर के माध्यम से
मैथ्यू ह्यूजेस लिवरपूल, इंग्लैंड के एक सॉफ्टवेयर डेवलपर और लेखक हैं। वह शायद ही कभी अपने हाथ में मजबूत काली कॉफी के कप के बिना पाया जाता है और अपने मैकबुक प्रो और अपने कैमरे को पूरी तरह से निहारता है। आप उनके ब्लॉग को पढ़ सकते हैं http://www.matthewhughes.co.uk और @matthewhughes पर ट्विटर पर उसका अनुसरण करें
