विज्ञापन

साइबर सुरक्षा, ऑनलाइन गोपनीयता और डेटा सुरक्षा की दुनिया में हर महीने बहुत कुछ हो रहा है। इसे बनाए रखना मुश्किल है!

हमारा मासिक सुरक्षा डाइजेस्ट आपको हर महीने सबसे महत्वपूर्ण सुरक्षा और गोपनीयता समाचार पर नज़र रखने में मदद करेगा। यहां अक्टूबर में क्या हुआ था

1. डार्क वेब पर बिक्री के लिए लाखों अमेरिकी मतदाता रिकॉर्ड

डार्क वेब में हमेशा बिक्री के लिए "दिलचस्प" अच्छाई होती है। अक्टूबर 2018 में, सुरक्षा शोधकर्ताओं पर अनोमली और इंटेल 471 बिक्री के लिए 35 मिलियन अमेरिकी मतदाता रिकॉर्ड मिला। 19 अमेरिकी राज्यों के रिकॉर्ड में पूर्ण नाम, फोन नंबर, भौतिक पते, मतदान इतिहास और अन्य मतदाता-विशिष्ट जानकारी शामिल हैं।

राज्य मतदाता पंजीकरण सूचियाँ पूरी तरह से गुप्त नहीं हैं जिनके साथ शुरू करना है राजनीतिक अभियान, शिक्षाविद और पत्रकार मतदाता पंजीकरण जानकारी का अनुरोध कर सकते हैं, इसलिए जब तक रिकॉर्ड व्यावसायिक उपयोग या ऑनलाइन पुनर्प्रकाशित नहीं होते हैं।

हालाँकि, इस उदाहरण में, Anomali ध्यान दें कि "जब इन सूचियों को संवेदनशील जानकारी वाले अन्य डेटा के साथ जोड़ दिया जाता है, जैसे कि सामाजिक। सुरक्षा संख्या और चालक का लाइसेंस, भूमिगत मंचों पर यह अमेरिका के लक्ष्य प्रोफ़ाइल बनाने के लिए प्रमुख डेटा बिंदुओं के साथ दुर्भावनापूर्ण अभिनेता प्रदान करता है मतदाताओं। "

instagram viewer

विशेष रूप से दिलचस्प विक्रेता से दावा है कि वे "राज्यों में मतदाता पंजीकरण डेटा के साप्ताहिक अद्यतन प्राप्त करते हैं और वे राज्य सरकारों के भीतर संपर्कों के माध्यम से जानकारी प्राप्त करें। ” रहस्योद्घाटन से पता चलता है कि जानकारी को लक्षित किया जाता है, बजाय एक के परिणाम के रिसाव।

दुर्भाग्य से, यह अमेरिकी मतदाता रिकॉर्ड जानकारी का पहला रिसाव नहीं है 2017 के प्रमुख साइबर सुरक्षा कार्यक्रम और उन्होंने आपके लिए क्या कियाक्या आप 2017 में हैक का शिकार हुए थे? अरबों थे, जो स्पष्ट रूप से साइबर स्पेस में अभी तक का सबसे खराब वर्ष था। ऐसा होने के साथ, आप कुछ उल्लंघनों को याद कर सकते हैं: चलो पुनरावृत्ति करते हैं। अधिक पढ़ें . 2015 में वापस, कुछ 191 मिलियन अमेरिकी मतदाताओं के रिकॉर्ड अमेरिकी मतदाता उजागर ऑनलाइन, Apple ने भयानक 2015 को समाप्त किया... [टेक न्यूज डाइजेस्ट]अमेरिकी मतदाताओं ने अपना विवरण ऑनलाइन लीक कर दिया है, 2015 में सभी एप्पल उत्पादों को चूसा, मार्क जुकरबर्ग ने आपको कोई पैसा नहीं दिया, Google ग्लास वापस आ गया है, और किशोर गेमर ने बदला लेने की मांग की है। अधिक पढ़ें इंटरनेट मारा। डेटाबेस को कई दिनों के लिए उजागर किया गया था और इसमें अक्टूबर के रिसाव के समान डेटा था।

प्रभावित राज्य हैं: जॉर्जिया, इडाहो, आयोवा, कंसास, केंटकी, लुइसियाना, मिनेसोटा, मिसिसिपी, मोंटाना, न्यू मैक्सिको, ओरेगन, साउथ कैरोलिना, साउथ डकोटा, टेनेसी, टेक्सास, यूटा, वेस्ट वर्जीनिया, विस्कॉन्सिन और व्योमिंग।

2. Google ने ब्रीच के उपयोगकर्ताओं को सूचित करने के लिए नहीं चुना है

अक्टूबर से समाचारों में से एक था Google के सोशल मीडिया प्लेटफॉर्म, Google+ के लिए मौत की घंटी Google डेटा लीक के बाद Google+ को बंद कर देता हैGoogle Google+ को कम से कम उपभोक्ताओं के लिए बंद कर रहा है। यह कम सगाई के स्तर के साथ-साथ संभावित डेटा लीक के कारण है। अधिक पढ़ें . Google+ कभी भी फेसबुक या ट्विटर के साथ प्रतिस्पर्धा करने में कामयाब नहीं रहा; Google द्वारा लाखों उपयोगकर्ताओं को YouTube पर टिप्पणियां पोस्ट करने के लिए खाते बनाने के लिए मजबूर करने के बाद भी।

ताबूत में अंतिम कील मंच के साथ आश्चर्यजनक रूप से कम उपयोगकर्ता बातचीत का समय साबित नहीं हुआ। नहीं। यह रहस्योद्घाटन था कि Google+ उपयोगकर्ताओं के निजी डेटा को छोड़ दिया गया था साल के लिए—और Google ने इसके बारे में बिल्कुल कुछ नहीं किया।

लीक में लगभग 500,000 उपयोगकर्ताओं का डेटा था। Google ने पुष्टि की कि लीक में नाम, ईमेल पते, जन्म तिथि, लिंग, व्यवसाय, जगहें, संबंध स्थिति और प्रोफ़ाइल चित्र शामिल हैं।

हालांकि यह संयोजन दुनिया का अंत नहीं है, फिर भी लक्षित फ़िशिंग ईमेल बनाने या पासवर्ड रीसेट तंत्र का उपयोग करके अन्य साइटों में प्रवेश करने का प्रयास करना पर्याप्त है।

लीक से आने वाली सबसे बड़ी खबर निजी डेटा का प्रदर्शन नहीं है, बल्कि यह है कि Google ने लीक को सार्वजनिक नहीं करने के लिए चुना। वॉल स्ट्रीट जर्नल को लीक एक मेमो बताता है कि "आंतरिक वकीलों ने सलाह दी कि Google को सार्वजनिक रूप से घटना का खुलासा करने के लिए कानूनी रूप से आवश्यक नहीं है।"

यह Google के लिए एक बुरी नज़र है, यह सुनिश्चित है। Google संभावित रूप से क्या छिपा रहा है या कवर कर रहा है क्योंकि रहस्योद्घाटन उसके व्यवसाय प्रथाओं को नुकसान पहुंचाएगा?

3. Torii मॉड्यूलर बोटेट मिराई से अधिक उन्नत है

अभूतपूर्व रूप से शक्तिशाली मिराई बॉटनेट ने लगातार रिकॉर्ड तोड़ने वाले DDoS हमलों के बाद सुर्खियों में आ गए हैकर्स आपकी पसंदीदा वेबसाइटों को तोड़ने के लिए बॉटनेट का उपयोग कैसे करते हैंएक बॉटनेट वेब सर्वर का नियंत्रण ले सकता है और आपकी पसंदीदा वेबसाइटों, या यहां तक ​​कि इंटरनेट के संपूर्ण भागों को भी ले सकता है और आपके दिन को बर्बाद कर सकता है। अधिक पढ़ें . लेकिन Torii नाम का एक नया मॉड्यूलर बोटनेट (क्योंकि प्रारंभिक शोधकर्ता ने पाया कि उसके हनीपॉट ने 52 टॉर एग्जिट नोड्स से हमला किया है) ने मिराई की नींव पर बनाया है, और हमलों को एक कदम आगे बढ़ाया है।

लेकिन जब टॉरी मिराई से निकलता है, तो यह कहना गलत होगा कि वे समान हैं।

Torii कुछ कारणों से बाहर खड़ा है। एक, अन्य मिराई डेरिवेटिव के विपरीत, यह "बोटनेट की तरह सामान्य सामान डीडीओएस नहीं करता है, जो इंटरनेट से जुड़े सभी उपकरणों पर हमला करता है, या, ज़ाहिर है, खनन क्रिप्टोकरेंसी।" अवास्ट ब्लॉग प्रविष्टि जारी है: “इसके बजाय, यह (संवेदनशील) सूचना, मॉड्यूलर वास्तुकला के बहिष्कार के लिए सुविधाओं का एक समृद्ध सेट के साथ आता है एन्क्रिप्टेड की कई परतों के माध्यम से अन्य आदेशों और निष्पादनों को लाने और निष्पादित करने में सक्षम है संचार। "

पसंद अन्य मॉड्यूलर मैलवेयर वेरिएंट, Torii कई चरणों में काम करता है। एक बार सिस्टम पर स्थापित होने के बाद, यह एक उचित पेलोड के लिए कमांड और कंट्रोल सर्वर के लिए घर डायल करने से पहले सिस्टम आर्किटेक्चर की जांच करता है। आर्किटेक्चर-विशिष्ट पेलोड में ARM, x86, x64, MIPS, PowerPC और बहुत कुछ शामिल हैं।

इसकी सफलता का रहस्य निस्संदेह इसकी बहुमुखी प्रतिभा है। प्लेटफार्मों की एक विशाल श्रृंखला पर हमला करके, Torii को बंद करना अविश्वसनीय रूप से कठिन है।

मेरे हनीपोट ने अभी कुछ नया किया है। टेलनेट के माध्यम से फैलता है, लेकिन आपके रन-ऑफ-द-मिल मिरी वेरिएंट या मोनोरो माइनर नहीं…

पहला चरण केवल कुछ कमांड्स हैं जो सीएसएस फ़ाइल के रूप में प्रच्छन्न, बल्कि परिष्कृत शेल स्क्रिप्ट डाउनलोड करते हैं। (URL अभी भी लाइव है) pic.twitter.com/r5L0I8PC0h

- वेस (@VessOnSecurity) 19 सितंबर, 2018

4. कैथे पैसिफिक सफ़र्स विशाल डेटा ब्रीच

कैथे पैसिफिक को 9.4 मिलियन से अधिक ग्राहकों के निजी डेटा को उजागर करने वाले डेटा उल्लंघन का सामना करना पड़ा है।

हैक में CCV सत्यापन कोड के बिना 860,000 पासपोर्ट नंबर, 245,000 हांगकांग आईडी कार्ड नंबर, 403 समय सीमा समाप्त क्रेडिट कार्ड नंबर और 27 क्रेडिट कार्ड नंबर की जानकारी होती है।

अन्य चुराए गए डेटा में यात्री के नाम, राष्ट्रीयता, जन्म तिथि, ईमेल पता, घर का पता और फोन नंबर, साथ ही अन्य एयरलाइन विशिष्ट जानकारी शामिल हैं।

कैथे पैसिफिक के मुख्य कार्यकारी अधिकारी रूपर्ट हॉग ने एयरलाइन के ग्राहकों से माफी मांगते हुए कहा, '' हम किसी भी चिंता के लिए बहुत खेद है कि यह डेटा सुरक्षा घटना हमारे यात्रियों का कारण बन सकती है। हमने घटना को रोकने के लिए तुरंत कार्रवाई की, एक प्रमुख साइबर सुरक्षा फर्म की सहायता से पूरी तरह से जांच शुरू की और अपने आईटी सुरक्षा उपायों को और मजबूत किया। "

हालाँकि, कैथे पैसिफ़िक हैक, ब्रिटिश एयरवे के सितंबर के डेटा लीक को दृढ़ता से बताता है। बीए ने तुरंत ग्राहकों को हैक के लिए सचेत किया और कोई पासपोर्ट नंबर नहीं खोए। कैथे पैसिफिक हैक इस साल मार्च और मई के बीच हुआ। हालाँकि, ग्राहक केवल ब्रीच की गंभीरता के बारे में पता लगा रहे हैं।

यदि आप अभी पता लगा रहे हैं, तो यहाँ है अगर कोई आपके ऑनलाइन खातों को हैक करने की कोशिश कर रहा है तो कैसे जांच करें कैसे चेक करें कि आपका ऑनलाइन अकाउंट हैक हुआ है या नहींज्यादातर डेटा लीक अकाउंट ब्रीच और हैक्स के कारण होते हैं। यहां यह जांचने का तरीका है कि आपके ऑनलाइन खातों को हैक किया गया है या समझौता किया गया है। अधिक पढ़ें .

5. 4 साल पुराने लिब्श भेद्यता की खोज की

सिक्योर शेल इंप्लीमेंट इंप्लीमेंट में दुनिया भर में हजारों वेबसाइटों और सर्वरों को प्रभावित करने वाली चार साल पुरानी भेद्यता है। भेद्यता libssh संस्करण 0.6 अद्यतन में पेश किया गया था, 2014 में वापस रास्ता जारी किया। यह स्पष्ट नहीं है कि कितने साइट प्रभावित हैं, लेकिन इंटरनेट से जुड़े डिवाइस सर्च इंजन, शोदान, 6,000 से अधिक परिणाम दिखाता है।

इर्राटा सिक्योरिटी के सीईओ रॉब ग्राहम कहते हैं, भेद्यता "हमारे लिए बहुत बड़ी बात है, लेकिन जरूरी नहीं कि पाठकों के लिए एक बड़ी बात हो।" यह आकर्षक है कि एसएसएच के रूप में इस तरह के एक विश्वसनीय घटक अब आपका पतन हो गया है। "

सकारात्मक रूप से, लिबास का उपयोग करने वाले प्रमुख साइट अप्रभावित दिखाई देते हैं। शायद सबसे बड़ी साइट GitHub है। हालांकि, GitHub सुरक्षा अधिकारियों ने ट्वीट किया कि वे GitHub और GitHub Enterprise के लिए libssh के अनुकूलित संस्करण का उपयोग करते हैं, इसलिए भेद्यता से अप्रभावित हैं। इसके अलावा, यह ध्यान रखना महत्वपूर्ण है कि यह भेद्यता है OpenSSH को प्रभावित नहीं करता है या इसी तरह का नाम libssh2 है।

जब हम libssh का उपयोग करते हैं, हम इसकी पुष्टि कर सकते हैं https://t.co/0iKPk21RVu और GitHub एंटरप्राइज़ CVE-2018-10933 से अप्रभावित है कि हम लाइब्रेरी का उपयोग कैसे करते हैं।

- गिटहब सुरक्षा (@GitHubSecurity) 16 अक्टूबर, 2018

वर्तमान सलाह है कि किसी भी लिबास उपकरणों को तुरंत 0.7.6 या 0.8.4 संस्करण में पैच करें।

6. वी-बक्स स्कैम के साथ हैकर्स ने फोर्टनाइट प्लेयर्स को निशाना बनाया

यदि दुनिया में अभी सबसे लोकप्रिय वीडियो गेम नहीं है, तो Fortnite एक है। ऑफ-द-वॉल फ्री-टू-प्ले बैटल रोयाले-स्टाइल गेम 70 मिलियन से अधिक मासिक खिलाड़ियों को आकर्षित करता है- और हैकर्स ने ध्यान दिया है। (माता-पिता, आपके बच्चे Fortnite खेल रहे हैं! योर किड्स आर प्लेइंग फ़ोर्टनाइट: व्हाट यू नीड टू नीड अबाउट इटयदि आपके बच्चे वीडियो गेम खेलते हैं, तो वे संभवत: Fortnite खेल रहे हैं। तो इस खेल के बारे में माता-पिता को क्या पता होना चाहिए? यहां आपके सवालों के जवाब दिए गए हैं। अधिक पढ़ें )

ZeroFOX के शोध से पता चलता है कि हैकर्स Fortnite के इन-गेम मुद्रा, V-Buck को लक्षित कर रहे हैं। खिलाड़ी अपने इन-गेम अवतार के लिए कॉस्मेटिक आइटम खरीदने के लिए वी-बक्स का उपयोग करते हैं। खेल के मुक्त होने के बावजूद, अनुमान है कि फॉर्च्यून डेवलपर्स एपिक गेम्स के लिए प्रति माह $ 300 मिलियन से अधिक कमा रहा है।

हैकर्स ने बिना सोचे-विचारे पीड़ितों को बरगलाने के लिए “फ्री फ़ोर्टनाइट वी-बक्स जेनरेटर्स” के माध्यम से स्कैम-साइट विज्ञापन चलाए इन-गेम क्रेडेंशियल्स, क्रेडिट कार्ड डेटा और घर जैसी उनकी व्यक्तिगत जानकारी का खुलासा करना पतों।

खतरे के संचालन के निदेशक ज़ैक एलन ने कहा, "माइक्रोइकॉनॉमी के साथ खेल, विशेष रूप से फोर्टनाइट, हमलावरों के लिए अपने सुरक्षा हमलों, घोटालों और स्पैम का लाभ उठाने के लिए प्रमुख लक्ष्य हैं।" ZeroFOX. “ये अर्थव्यवस्था विनियमन की कमी के कारण अपने आप पर बहुत अधिक ध्यान आकर्षित किए बिना पैसा बनाने का एक शानदार तरीका है और अर्थव्यवस्था की बारीकियों (किसी भी स्थानीय कानून प्रवर्तन अधिकारी के लिए Buck वी-बक का वर्णन करने का प्रयास करें), आपको सबसे अधिक संभावना खाली मिलेगी। एकटक देखना)।"

यह पहली बार नहीं है जब Fortnite सुरक्षा-जांच के दायरे में आया है। अप्रैल 2018 में, एपिक गेम्स ने घोषणा की कि वे Fortnite Android संस्करण के लिए Google Play Store का उपयोग नहीं करेंगे। Google Play Store का उपयोग करने से इनकार करने का अर्थ है कि खिलाड़ी Google द्वारा दी गई सुरक्षा से चूक जाते हैं। आप देख सकते हैं कैसे यहाँ सुरक्षित रूप से Android पर Fornite स्थापित करने के लिए.

अक्टूबर 2018 सुरक्षा समाचार राउंडअप

अक्टूबर 2018 से वे शीर्ष सुरक्षा कहानियों में से सात हैं। लेकिन बहुत कुछ हुआ; हमारे पास यह सब विस्तार से सूचीबद्ध करने के लिए जगह नहीं है। यहां पांच और दिलचस्प सुरक्षा कहानियां हैं जो पिछले महीने हुईं:

  • आईबीएम प्राप्त $ 30 बिलियन से अधिक के सौदे में रेड हैट।
  • पेंटागन इसे धोने 30,000 कर्मचारियों को उजागर करने वाले एक सुरक्षा उल्लंघन के साथ।
  • एथिकल हैकर्स खुला यूएस मरीन कॉर्प्स एंटरप्राइज नेटवर्क में 150 कमजोरियां।
  • फेसबुक है खोज कर सुरक्षा और डेटा सुरक्षा को बढ़ावा देने के लिए साइबर सुरक्षा कंपनी के अधिग्रहण के लिए।
  • कास्पर्सकी लैब्स मिल गया एनएसए डार्कपल्सर रूसी, ईरानी और मिस्र के परमाणु ठिकानों के खिलाफ हमलों में शोषण करता है।

साइबर सुरक्षा एक लगातार विकसित हो रही जानकारी है। मालवेयर, डेटा प्रोटेक्शन, प्राइवेसी इश्यूज़, और डेटा ब्रीच को टॉप पर रखना एक फुलटाइम जॉब है - इसीलिए हम हर महीने आपके लिए सबसे महत्वपूर्ण खबरें बनाते हैं।

अपने नवंबर 2018 सुरक्षा राउंडअप के लिए अगले महीने की शुरुआत में वापस जांचें। इस बीच, बिल्कुल बाहर की जाँच करें कैसे कृत्रिम बुद्धिमत्ता आधुनिक हैकर्स से लड़ेगी कैसे आर्टिफिशियल इंटेलिजेंस आधुनिक हैकर्स और साइबर अपराध से लड़ेंगेएक साइबर सुरक्षा प्रतिभा की कमी और साइबर क्राइम महामारी के साथ, कंपनियां हैकर्स से कैसे लड़ सकती हैं? कृत्रिम बुद्धि के साथ! अधिक पढ़ें .

गैविन MUO के लिए एक वरिष्ठ लेखक हैं। वह MakeUseOf की क्रिप्टो-केंद्रित बहन साइट, ब्लॉक डिकोड्ड के संपादक और एसईओ प्रबंधक भी हैं। उनके पास डेवन की पहाड़ियों से ली गई डिजिटल आर्ट प्रैक्टिसेज के साथ-साथ एक बीए (ऑनर्स) समकालीन लेखन है, साथ ही साथ पेशेवर लेखन का एक दशक से अधिक का अनुभव है। वह चाय का प्रचुर मात्रा में आनंद लेते हैं।