विज्ञापन

जब आप SQL इंजेक्शन भेद्यता के साथ 420,000 वेबसाइटों के साथ एक दर्जन रूसी आपराधिक हैकर्स को पार करते हैं तो आपको क्या मिलता है? आपको उन हैकरों के हाथों में 4.5 बिलियन समझौता उपयोगकर्ता रिकॉर्ड मिलते हैं।

मंगलवार को द न्यूयॉर्क टाइम्स ने बताया कि मिल्वौकी के होल्ड सिक्योरिटी, विस्कॉन्सिन ने चोरी हुए क्रेडेंशियल्स से भरे एक डेटाबेस की खोज की. एलेक्स होल्डन, होल्ड सिक्योरिटी के मुख्य सूचना सुरक्षा अधिकारी ने चोरी के स्रोत का पता लगाया एक दर्जन 20-कुछ साल पुराने पुरुषों के नीचे एक छोटी हैकिंग रिंग की साख, दक्षिण मध्य से बाहर है रूस। उन्होंने समूह को "साइबरवेयर" करार दिया।

होल्डन ने बताया कि "हैकिंग गिरोह" में युवाओं की एक टीम शामिल थी, जिनमें से प्रत्येक की अपनी भूमिका है - कुछ लेखन कार्यक्रम, अन्य डेटा से क्रेडेंशियल्स निकालने के लिए काम कर रहे हैं। संपूर्ण संगठन एक वास्तविक व्यवसाय की तरह संचालित होता है।

रूसी हैकिंग गिरोह

होल्डन के अनुसार, साइबरवेयर 2011 में स्पैमर्स की एक टीम के रूप में शुरू हुआ। व्यापार योजना तब ग्राहकों के लिए बड़े पैमाने पर स्पैम ईमेल भेजने के लिए काले बाजार से चोरी की गई संपर्क जानकारी खरीदना था। अगले कुछ वर्षों में, आपराधिक उद्यमियों की टीम ने एक बॉट-नेट का निर्माण किया - वायरस से संक्रमित कंप्यूटरों का एक विशाल नेटवर्क जो स्पैम विस्फोटों को बाहर भेजने के लिए उनका उपयोग करने की अनुमति देता है।

बॉट net1

समय के साथ, टीम ने अपने बॉट-नेट का परीक्षण करने के लिए उपयोग किया, जिसके लिए वेबसाइटें SQL इंजेक्शन हैकिंग हमले के लिए असुरक्षित थीं। एक बार वेबसाइटों की सूची संकलित करने के बाद, टीम ने साइट पर हैक चलाने और वहां संग्रहीत डेटाबेस की पूरी सामग्री को निकालने के लिए काम किया।

डेटाबेस तक पहुंच के साथ, समूह 4.5 बिलियन रिकॉर्ड संकलित करने में सक्षम था, जो निकला 1.2 बिलियन यूनीक यूजर नेम और पासवर्ड क्रेडेंशियल्स, और 542 मिलियन यूनीक ईमेल की एक भव्य कुल सम्‍मिलित है पतों।

इसका क्या मतलब है

अगर आपको लगता है कि आप इस विशेष सुरक्षा खतरे से असंतुष्ट हो सकते हैं, तो फिर से सोचें। यह देखते हुए कि वर्तमान में दुनिया में सिर्फ 3 बिलियन इंटरनेट उपयोगकर्ता हैं, 1.2 बिलियन यूनिक उपयोगकर्ता नाम और पासवर्ड का उल्लंघन है क्रेडेंशियल्स आपराधिक हैकर्स की ओर से रिकॉर्ड-ब्रेकिंग सफलता का प्रतिनिधित्व करता है, और इसका मतलब यह भी है कि आपके क्रेडेंशियल्स पर बहुत संभावना है जोखिम।

सिमेंटेक के लिए सुरक्षा प्रतिक्रिया के निदेशक ओरला कॉक्स ने एनपीआर समाचार को बताया कि इसका सबसे सुरक्षित तरीका यह है कि आपकी साख से समझौता किया जाए।

"मुझे लगता है कि सभी इंटरनेट उपयोगकर्ताओं को यह मान लेना चाहिए कि वे इससे प्रभावित हुए हैं। स्पष्ट रूप से ये अवसरवादी नहीं हैं, वे शौकीन नहीं हैं। ये पूर्णकालिक साइबर अपराधी हैं जो संभवतः कई महीनों से इसे अंजाम दे रहे हैं, शायद साल भी। ”

आपको कैसे पता चलेगा कि आपकी कोई साख प्रभावित हुई है? दुर्भाग्य से, आप तब तक नहीं हैं - जब तक कि होल्ड सिक्योरिटी अपना ऑनलाइन टूल प्रकाशित नहीं करती है जो आपको यह जांचने की अनुमति देगा कि क्या डेटाबेस में आपकी खुद की जानकारी है या नहीं।

इस बीच, होल्ड सिक्योरिटी बिल्डिंग के जरिए ब्रीच को बड़ा कर रही है सेवाओं का सुइट वेबसाइट के मालिकों और इंटरनेट उपयोगकर्ताओं को इस हैकर गिरोह से खतरे का प्रबंधन करने में मदद करने का इरादा है। उन सेवाओं में निम्नलिखित शामिल हैं:

  • ब्रीच नोटिफिकेशन सर्विस (BNS) - यदि आपकी साइट इस उल्लंघन या किसी अन्य सुरक्षा उल्लंघन से प्रभावित हुई है तो आपको सूचित करती है। लागत: $ 120 / वर्ष
  • पेन टेस्टिंग और ऑडिट सर्विसेज - आपकी साइट का ऑडिट करेगी और कोई कमजोरियां पाएगी। कोई मूल्य सूचीबद्ध नहीं है।
  • क्रेडेंशियल इंटिग्रिटी सर्विस - यदि आपकी वेबसाइट के किसी उपयोगकर्ता ने क्रेडेंशियल्स से समझौता किया है तो आपको सूचित करता है। कोई मूल्य सूचीबद्ध नहीं है।
  • इलेक्ट्रॉनिक आइडेंटिटी मॉनिटरिंग सर्विस - उन व्यक्तियों के लिए, जो यह जानना चाहते हैं कि उनकी इलेक्ट्रॉनिक पहचान कमजोर या समझौता योग्य है या नहीं। पूर्व-पंजीकरण उपलब्ध है, क्योंकि सेवा विकास के अधीन है।

तुम्हे क्या करना चाहिए

बेशक, यदि आप प्रभावित हुए हैं, तो आपको यह बताने के लिए होल्ड सिक्योरिटी को लिखने के लिए सबसे सस्ता तरीका है, बस अपने सभी पासवर्ड को बदलना है। जबकि यह करने के लिए कष्टप्रद हो सकता है, इसलिए की ऊँची एड़ी के जूते पर बंद करें कुछ ही महीने पहले हार्दिक उपद्रव हार्दिक - आप सुरक्षित रहने के लिए क्या कर सकते हैं? अधिक पढ़ें , यह वास्तव में एकमात्र यकीन है कि आपको अपने खातों को सुरक्षित करना होगा। बेशक, समस्या यह है कि आप वास्तव में ऐसा नहीं कर सकते हैं जब तक आप जानते हैं कि आपके द्वारा उपयोग की जाने वाली वेबसाइट्स SQL ​​इंजेक्शन के लिए असुरक्षित नहीं हैं।

बॉट net2

यदि आप यह निर्धारित करना चाहते हैं कि आपके खातों का उपयोग करने के लिए आपके द्वारा उपयोग की जाने वाली वेबसाइटें सुरक्षित हैं या नहीं, तो आपको इसकी आवश्यकता होगी यह जानने के लिए कि क्या वे SQL इंजेक्शन के हमलों से सुरक्षित हैं - इस विशेष रूसी हैकर के लिए पसंद का हथियार गिरोह।

शुक्र है, यह जांचना बहुत आसान है कि क्या कोई साइट उस विशेष हैक के लिए असुरक्षित है। आपको बस उस साइट पर एक पृष्ठ खोजने की ज़रूरत है जो बैकएंड डेटाबेस से गतिशील रूप से लोड होती है। यह इस तरह से क्वेरी के साथ URL के संरचित की तलाश में एक PHP- आधारित साइट के साथ बहुत आसान है: " http://www.website.com/page.php? आईडी = 32 "

SQL इंजेक्शन भेद्यता के लिए एक त्वरित परीक्षण लाइन के बहुत अंत में एक ही उद्धरण जोड़ रहा है। यदि वेब पेज अभी भी ठीक लोड होता है, तो साइट इस हमले से सुरक्षित है। यदि यह "SQL क्वेरी विफल" त्रुटि देता है, तो साइट असुरक्षित है, और आपको यह मान लेना चाहिए कि आपके डेटा को वहां संग्रहीत किया गया है।

संलग्न करके ए URL में, आप परीक्षण कर रहे हैं कि क्या आप अधिक आक्रामक SQL कमांड को ट्रिगर करने के लिए अतिरिक्त SQL पैरामीटर जोड़ सकते हैं।

यदि आपको पता है कि वेबसाइट सुरक्षित है, तो आगे बढ़ें और वहां अपना पासवर्ड बदलें। यदि आप देखते हैं कि यह अभी भी SQL इंजेक्शन हमले के लिए असुरक्षित है, तो अपने क्रेडेंशियल्स को बदलने से बचें, और इसके बजाय वेबसाइट के मालिक से संपर्क करें और उन्हें भेद्यता की जानकारी दें।

जब तक आप इसे ...

जब आप सभी सुरक्षित साइटों पर अपना पासवर्ड बदल रहे हों और बदल रहे हों, तो निम्न दिशानिर्देशों पर विचार करें।

  • क्या आपका पासवर्ड वास्तव में अद्वितीय और मजबूत है? हमारे कई लेख देखें पासवर्ड जनरेशन टिप्स पासवर्ड बनाने के 13 तरीके जो सुरक्षित और यादगार हैंजानना चाहते हैं कि सुरक्षित पासवर्ड कैसे बनाएं? ये रचनात्मक पासवर्ड विचार आपको मजबूत, यादगार पासवर्ड बनाने में मदद करेंगे। अधिक पढ़ें .
  • का उपयोग पासवर्ड मैनेजर अपने जीवन को आसान बनाने के लिए एक पासवर्ड प्रबंधन रणनीति का उपयोग करेंपासवर्ड के आसपास की अधिकांश सलाह का पालन करना असंभव है: संख्याओं, अक्षरों और विशेष वर्णों वाले एक मजबूत पासवर्ड का उपयोग करें; इसे नियमित रूप से बदलें; प्रत्येक खाते आदि के लिए एक पूरी तरह से अद्वितीय पासवर्ड के साथ आओ ... अधिक पढ़ें और सुनिश्चित करें कि आपका पासवर्ड आपके द्वारा उपयोग की जाने वाली हर एक साइट के लिए अलग है। का उपयोग करके देखें पासवर्ड जनरेटर मजबूत रैंडम पासवर्ड के लिए 5 सर्वश्रेष्ठ ऑनलाइन पासवर्ड जेनरेटरजल्दी से अटूट पासवर्ड बनाने का तरीका खोज रहे हैं? इन ऑनलाइन पासवर्ड जनरेटर में से एक को आज़माएं। अधिक पढ़ें प्रत्येक साइट के लिए।
  • मैं दोहराता हूं: के लिए एक अद्वितीय पासवर्ड का उपयोग करें प्रत्येक साइट!

पासवर्ड प्रबंधन से परे, एक और रचनात्मक दृष्टिकोण है जो आपको वास्तव में हैकर्स पर "वापस पाने" की सुविधा देता है। इसमें यह सुनिश्चित करना शामिल है कि आपके सभी ऑनलाइन खातों में गलत जानकारी - फर्जी पते, फोन नंबर और ईमेल पते शामिल हैं। इस तरह, जब भी इस तरह का उल्लंघन होता है, तो आप इसे केवल हंस सकते हैं, क्योंकि सभी व्यक्तिगत संपर्क जानकारी - विशेष रूप से ईमेल जो आम तौर पर स्पैमिंग उद्देश्यों के लिए छीन ली जाती है - के लिए एक पूर्ण ड्यूड है हैकर।

जाहिर है, यह दृष्टिकोण एक वित्तीय साइट के लिए काम नहीं करेगा जिसे आमतौर पर पुष्टि की आवश्यकता होती है, लेकिन कोई उम्मीद करेगा SQL इंजेक्शन जैसी किसी चीज़ से सुरक्षित होने के लिए वित्तीय वेबसाइट सुरक्षा वक्र से काफी आगे हैं हैक।

इस नवीनतम हमले के आकार और दायरे के प्रकाश में, क्या आप अपनी निजी जानकारी के बारे में चिंतित हैं? क्या आपके पास इससे निपटने की कोई योजना है? नीचे कि टिप्पणियों अनुभाग के लिए अपने विचार साझा करें!

स्रोत: न्यूयॉर्क टाइम्स
छवि क्रेडिट: अदृश्य आदमी वाया शटरस्टॉक, kentoh / शटरस्टॉक

रयान के पास इलेक्ट्रिकल इंजीनियरिंग में बीएससी की डिग्री है। उन्होंने ऑटोमेशन इंजीनियरिंग में 13 साल, आईटी में 5 साल काम किया है, और अब एक एप्स इंजीनियर हैं। MakeUseOf के पूर्व प्रबंध संपादक, उन्होंने डेटा विज़ुअलाइज़ेशन पर राष्ट्रीय सम्मेलनों में बात की और राष्ट्रीय टीवी और रेडियो पर चित्रित किया गया है।