विज्ञापन
वेब दिग्गज याहू को भारी डेटा का नुकसान उठाना पड़ा है। ब्रीच, जो 2014 में हुआ था, जिसके परिणामस्वरूप याहू के 500 मिलियन उपयोगकर्ता थे अंधेरे वेब पर बिक्री के लिए पेशकश की दीप वेब के 10 छोटे-छोटे कॉर्नर जिन्हें आप वास्तव में पसंद कर सकते हैंडार्क वेब की एक खराब प्रतिष्ठा है, लेकिन कुछ वास्तव में उपयोगी डार्क वेब साइट्स हैं जिन्हें आप देखना चाहते हैं। अधिक पढ़ें .
चोरी का पैमाना अन्य हाल ही में, प्रमुख डेटा उल्लंघनों और बौनों को स्थान पर याहू के तहत सुरक्षा प्रथाओं को मजबूती से सुर्खियों में लाना है।
क्या टूट गया है?
याहू ने एक बयान जारी किया सुरक्षा उल्लंघन की पुष्टि और विवरण"राज्य-प्रायोजित" हैकर्स द्वारा डेटा चुरा लिया गया था। 2014 में कंपनी से नाम, ईमेल पते, फोन नंबर और सुरक्षा प्रश्न सहित जानकारी चोरी हो गई थी।
“याहू द्वारा हाल ही में की गई एक जांच ने पुष्टि की है कि कुछ उपयोगकर्ता खाते की जानकारी की एक कॉपी 2014 के अंत में हमारे नेटवर्क से चुरा ली गई थी, जिसे हम एक राज्य-प्रायोजित अभिनेता मानते हैं। हम कानून प्रवर्तन अधिकारियों के साथ मिलकर काम कर रहे हैं और संभावित प्रभावित उपयोगकर्ताओं को उन तरीकों से सूचित कर रहे हैं जो वे अपने खातों को और सुरक्षित कर सकते हैं। "
एक छोटे से सकारात्मक ज्ञान में आता है कि उल्लंघन में "असुरक्षित पासवर्ड, भुगतान कार्ड डेटा या बैंक खाते की जानकारी नहीं थी।" बहरहाल, द याहू द्वारा जारी किए गए बयान घटनाओं के समय और साथ ही आने वाले दिनों में कंपनी के कार्यों से संबंधित सुरक्षा शोधकर्ताओं से और सवाल करेंगे उल्लंघन।
ब्रेकिंग: 500 मिलियन #Yahoo 2014 हैक में संकलित लेखा। अन्य चौंकाने वाली खबरों में, 500 मिलियन लोगों के याहू खाते हैं।
- बेन केनर (@InfoSec_Review) २२ सितंबर २०१६
महत्वपूर्ण प्रश्न उठाना
मजबूती से कई सुरक्षा शोधकर्ताओं के सवालों की सूची बस के ऊपर होगा "किसी हैक की पुष्टि करने में इतना समय क्यों लगा क्यों एक गुप्त रखने वाली कंपनी एक अच्छी बात हो सकती हैऑनलाइन इतनी जानकारी के साथ, हम सभी संभावित सुरक्षा उल्लंघनों के बारे में चिंता करते हैं। लेकिन इन उल्लंघनों को आपकी रक्षा के लिए यूएसए में गुप्त रखा जा सकता है। यह पागल लगता है, तो क्या चल रहा है? अधिक पढ़ें इस पैमाने पर? ” यह आसानी से दूसरों के सवालों पर भी बहस करता है। ब्रीच के अपने उपयोगकर्ताओं को सूचित करने में याहू को इतना समय क्यों लगा?
याहू अब ग्राहकों को ब्रीच नोटिफिकेशन भेज रहा है: pic.twitter.com/AjbDJYQCIH
- ट्रॉय हंट (@troyhunt) २३ सितंबर २०१६
राज्य द्वारा प्रायोजित हमले की धारणा भी हैरान करने वाली है। अभी तक, याहू किसी राष्ट्र-राज्य अभिनेता को उल्लंघन से जोड़ने वाले किसी भी सबूत का उत्पादन करने में विफल रहा है, हालांकि तीन अमेरिकी खुफिया अधिकारी - जिन्होंने नाम से पहचाने जाने से इनकार कर दिया - रायटर की पुष्टि की:
"... उनका मानना था कि हमला रूसी खुफिया एजेंसियों या उनके निर्देशन में काम करने वाले हैकरों की निशानदेही के कारण हुआ था।
भले ही ब्रीच पिछले राष्ट्र-राज्य हमलों के लिए बोर समानता जब सरकारें हमला करती हैं: राष्ट्र-राज्य मैलवेयर उजागरएक साइबरवार अभी इंटरनेट पर छिपा हुआ है, इसके परिणाम बहुत कम देखे गए हैं। लेकिन युद्ध के इस थिएटर में कौन खिलाड़ी हैं और उनके हथियार क्या हैं? अधिक पढ़ें , उन उल्लंघनों के परिणामस्वरूप आमतौर पर निजी उपयोगकर्ता डेटा जारी नहीं होता है। दुर्लभ अभी भी उन लोगों को ढूंढ रहा है साख वेब पर बिक्री के लिए विज्ञापित यहां बताया गया है कि डार्क वेब पर आपकी पहचान कितनी महत्वपूर्ण हो सकती हैअपने आप को एक वस्तु के रूप में सोचना असुविधाजनक है, लेकिन आपके सभी व्यक्तिगत विवरण, नाम और पते से बैंक खाते के विवरण तक, ऑनलाइन अपराधियों के लिए कुछ लायक हैं। आप किस लायक हैं? अधिक पढ़ें .
आगे साज़िश जोड़ना डेटा ब्रीच के व्यक्तिगत विक्रय भाग की पहचान है। "पीस ऑफ माइंड" नामक एक उपयोगकर्ता, जिसने माइस्पेस और लिंक्डइन उल्लंघनों के डेटा डंप भी बेचे थे, सक्रिय रूप से डेटा का दोहन कर रहा था।
जेरेमिया ग्रॉसमैन, सेंटिनलऑन में सुरक्षा रणनीति के प्रमुख, कहा हुआ "जब हम जानते हैं कि जानकारी 2014 के अंत में चोरी हो गई थी, तब हमें कोई संकेत नहीं है कि याहू ने पहली बार इस उल्लंघन के बारे में कब सीखा था। यह कहानी का एक महत्वपूर्ण विवरण है। ”
ग्रॉसमैन का मानना है कि जैसा कि पीस ऑफ माइंड एक "मुनाफाखोर हैकर" था, उन्हें राज्य-प्रायोजन प्राप्त करने की अत्यधिक संभावना नहीं होगी; फलस्वरूप, "इसका मतलब यह है कि हम अपने सिस्टम में दो अलग-अलग हैकिंग समूहों के साथ याहू के दो अलग-अलग उल्लंघनों को देख रहे हैं।"
"इस साइबर हमले से प्रभावित लोगों की भारी संख्या डगमगा रही है और यह दर्शाता है कि सुरक्षा हैक के परिणाम कितने गंभीर हो सकते हैं ..." यह हैक कैसे हुआ, इसके बारे में अभी तक सभी को पता नहीं है, लेकिन व्यक्तिगत रूप से हासिल करने और संभालने वाली कंपनियों के लिए यहां एक महत्वपूर्ण और महत्वपूर्ण संदेश है। डेटा। लोगों की व्यक्तिगत जानकारी को सुरक्षित रूप से लॉक और कुंजी के तहत सुरक्षित रखा जाना चाहिए - और हैकर्स के लिए यह कुंजी असंभव होनी चाहिए। " - यूनाइटेड किंगडम के सूचना आयुक्त एलिजाबेथ डेनहम
यह कितना गंभीर है?
याहू के बयान ने पुष्टि की कि चोरी किए गए पासवर्डों का अधिकांश हिस्सा bcrypt का उपयोग करके हैश किया गया था। हैशिंग एक निश्चित लंबाई "फ़िंगरप्रिंट" में बदलने की प्रक्रिया है जिसे उपयोगकर्ता द्वारा लॉगिन करने का प्रयास करने पर याद किया जाता है और जांचा जाता है। यह उपयोगकर्ता जानकारी की सुरक्षा का एक मूल तरीका है हर सिक्योर वेबसाइट आपकी पासवर्ड से ऐसा करती हैक्या आपने कभी सोचा है कि वेबसाइटें आपके पासवर्ड को डेटा उल्लंघनों से कैसे सुरक्षित रखती हैं? अधिक पढ़ें , अभी तक है अभी भी कुछ वेबसाइटों द्वारा अनदेखी की गई है 7 सबसे आम रणनीति हैक पासवर्ड का इस्तेमाल कियाजब आप "सिक्योरिटी ब्रीच" सुनते हैं, तो दिमाग में क्या आता है? एक पुरुषवादी हैकर? कुछ तहखाने में रहने वाला बच्चा? वास्तविकता यह है कि, जो कुछ भी आवश्यक है वह एक पासवर्ड है, और हैकर्स के पास आपका प्राप्त करने के लिए 7 तरीके हैं। अधिक पढ़ें .
Bcrypt को हैशिंग का एक सुरक्षित तरीका माना जाता है हैश भी "नमकीन" हैं वेबसाइटें आपके पासवर्ड को कैसे सुरक्षित रखती हैं?नियमित ऑनलाइन सुरक्षा उल्लंघनों की सूचना के साथ, आप इस बात से चिंतित हैं कि वेबसाइट आपके पासवर्ड के बाद कैसी दिखती है। वास्तव में, मन की शांति के लिए, यह एक ऐसी चीज है जिसे हर किसी को जानना जरूरी है ... अधिक पढ़ें एक प्रक्रिया जहां प्रत्येक हैश अलग होगा, भले ही वह एक ही पासवर्ड की सुरक्षा कर रहा हो।
पासवर्ड चिड़चिड़े हैं लेकिन बदलने में आसान हैं; एक मां का पहला नाम नहीं है हैकर्स ने प्लेनटेक्स्ट सुरक्षा प्रश्नों का भी उल्लंघन किया। सुरक्षा प्रश्न लंबे समय से जांच के दायरे में हैं कैसे एक सुरक्षा प्रश्न बनाने के लिए कि कोई भी अनुमान लगा सकते हैंहाल के सप्ताहों में मैंने ऑनलाइन खातों को पुनर्प्राप्त करने के तरीके के बारे में बहुत कुछ लिखा है। एक विशिष्ट सुरक्षा विकल्प एक सुरक्षा प्रश्न स्थापित कर रहा है। हालांकि यह संभावित रूप से एक त्वरित और आसान तरीका प्रदान करता है ... अधिक पढ़ें पिछले उल्लंघनों में उपयोगकर्ता खातों की पहचान करने में उनकी भूमिका के लिए, फिर भी वे अभी भी अधिकांश उपयोगकर्ता खाता लॉगिन सिस्टम की एक प्राथमिक विशेषता बनाते हैं।
तदनुसार, याहू ने अपने सभी उपयोगकर्ताओं को एक पासवर्ड रीसेट संदेश भेजा है। वे अपने उपयोगकर्ताओं को इसके लिए प्रोत्साहित करते हैं:
- किसी भी अन्य खातों के लिए अपना पासवर्ड और सुरक्षा प्रश्न और उत्तर बदलें, जिस पर आप उसी या समान क्रेडेंशियल्स का उपयोग करते हैं जैसे कि आपके याहू खाते के लिए उपयोग किया जाता है।
- संदिग्ध गतिविधियों के लिए अपने खातों की समीक्षा करें।
- किसी भी अवांछित संचार से सावधान रहें जो आपकी व्यक्तिगत जानकारी मांगता है या आपको व्यक्तिगत जानकारी के लिए पूछने वाले वेब पेज का संदर्भ देता है।
- संदिग्ध ईमेल से लिंक पर क्लिक करने या अटैचमेंट डाउनलोड करने से बचें।
हम पहले सुझाव पर पर्याप्त जोर नहीं दे सकते। हम अपने पाठकों को अन्य साइटों पर विचार करने के लिए भी सलाह देते हैं जिनके साथ उन्होंने अपने लॉगिन क्रेडेंशियल्स का उपयोग किया हो, जैसे कि फोटो-स्टोरेज सेवा फ़्लिकर, या सोशल बुकमार्किंग साइट Del.icio.us.
हो सकता है कि आपने असुरक्षित महसूस किए बिना याहू खाता बनाया हो।
एक बड़ा पुराना उल्लंघन
अब याहू एक अवांछित मुकुट लेता है क्या तुम बड़े लिंक्डइन खातों लीक के बारे में पता करने की आवश्यकता हैएक हैकर 117 मिलियन हैक किए गए लिंक्डइन क्रेडेंशियल्स को बिटकॉइन में $ 2,200 के लिए डार्क वेब पर बेच रहा है। केविन शबाज़ी, LogMeOnce के सीईओ और संस्थापक, हमें यह समझने में मदद करते हैं कि जोखिम क्या है। अधिक पढ़ें : इतिहास का सबसे बड़ा कॉर्पोरेट डेटा उल्लंघन।
- याहू - 500 मिलियन उपयोगकर्ता साख
- माइस्पेस - 359 मी
- लिंक्डइन - 164 मी
- एडोब - 152 मी
- सगाई - 112 मी
जुलाई 2016 में, अमेरिकी दूरसंचार दिग्गज वेरिज़ोन ने याहू के इंटरनेट व्यवसाय का $ 5bn अधिग्रहण किया। हालांकि, इस उल्लंघन से टेकओवर प्रभावित होने की उम्मीद नहीं है।
याहू सुरक्षा घटना के बारे में आज दोपहर वेरिज़ोन का बयान। $ VZpic.twitter.com/KQTnyrjlJy
- बॉब वेर्टन्टी (@bvar) २२ सितंबर २०१६
हमारी सलाह किसी भी बड़े डेटा उल्लंघन के समान है। अपने पासवर्ड रीसेट करें। इसके अलावा, आने वाले हफ्तों और महीनों में अपने ईमेल और टेक्स्ट संदेशों की जांच करें। स्मरण में रखना अपने खाते की क्रेडेंशियल्स का पुन: उपयोग न करें।
क्रेडेंशियल पुन: उपयोग; एक बार भी नहीं।
क्या आपके खाते से छेड़छाड़ की गई है? क्या आप आश्चर्यचकित हैं कि याहू को कार्य करने में कितना समय लगा? आगे कौन सी बड़ी सेवा का उल्लंघन होगा? नीचे अपने विचार हमें बताएं!
गैविन MUO के लिए एक वरिष्ठ लेखक हैं। वह MakeUseOf की क्रिप्टो-केंद्रित बहन साइट, ब्लॉक डिकोड्ड के संपादक और एसईओ प्रबंधक भी हैं। उनके पास डेवन की पहाड़ियों से ली गई डिजिटल आर्ट प्रैक्टिस के साथ-साथ एक बीए (ऑनर्स) समकालीन लेखन है, साथ ही साथ पेशेवर लेखन के एक दशक से अधिक का अनुभव है। वह चाय का प्रचुर मात्रा में आनंद लेते हैं।