डेटा ब्रीच एक सुरक्षा घटना है जिसमें निजी / गोपनीय जानकारी को अनधिकृत व्यक्ति द्वारा देखा, कॉपी, प्रसारित या उपयोग किया जाता है। इसमें व्यक्तिगत रूप से पहचान योग्य जानकारी, व्यक्तिगत स्वास्थ्य जानकारी, वित्तीय जानकारी, बौद्धिक संपदा या कंपनियों के व्यापार रहस्य शामिल हो सकते हैं।
डेटा ब्रेक्स एक अस्थायी आतंक से कहीं अधिक हैं: वे विभिन्न तरीकों से व्यवसायों और उपभोक्ताओं को चोट पहुंचा सकते हैं, और उनके कारण होने वाले खर्च प्रतिष्ठा को नुकसान पहुंचा सकते हैं और मरम्मत में समय लगा सकते हैं।
लाखों या करोड़ों उपयोगकर्ताओं को प्रभावित करने वाले स्तन काफी सामान्य हो गए हैं। 2016 में, इंटरनेट सेवा कंपनी याहू! इस बात की पुष्टि की गई कि उसके सभी 3 बिलियन उपयोगकर्ता इतिहास में सबसे बड़े डेटा उल्लंघन के रूप में प्रभावित हुए थे। नाम, मोबाइल नंबर, ईमेल पता, जन्म तिथि और हैशेड पासवर्ड सहित उपयोगकर्ताओं के विशिष्ट विवरण लीक किए गए थे।
2018 में, NYC-आधारित वीडियो मैसेजिंग सेवा डबस्मैश और MyFitnessPal नाम का एक फिटनेस ऐप 16 समझौता प्लेटफार्मों के बड़े पैमाने पर डेटा डंप में से एक था, जिसने 600 मिलियन से अधिक ग्राहकों के खातों को लीक किया और ऑनलाइन डार्कनेट बाजार पर बिक्री के लिए पेश किया।
इसी तरह की सैकड़ों घटनाएं हाल के दशक में हुई हैं। पॉनमोन इंस्टीट्यूट द्वारा किए गए अध्ययन के अनुसार, एक कंपनी को औसतन एक डेटा ब्रीच की कीमत 3.86 मिलियन डॉलर है।
बढ़ते हुए दांव और डेटा उल्लंघनों की बढ़ती लागत को देखते हुए, व्यवसायों और सरकारों ने अपने ग्राहकों के डेटा को सुरक्षित रखने के लिए बहुत सारे संसाधन लगाने शुरू कर दिए हैं।
अधिकांश डेटा उल्लंघनों में असुरक्षित और असंरचित दस्तावेज़, फ़ाइलें और संवेदनशील जानकारी शामिल होती है। इस अवलोकन लेख में, हमने 6 सबसे सामान्य प्रकार के डेटा उल्लंघनों के बारे में बताया है और वे कैसे होते हैं।
6. Brute-Force Attack
परीक्षण और त्रुटि विधि के माध्यम से पासवर्ड का अनुमान लगाना
ब्रूट-फोर्स अटैक में अंतत: सही अनुमान लगाने की उम्मीद के साथ साख प्रस्तुत करना शामिल है। हमलावर तब तक पासवर्ड के सभी संभव संयोजनों का प्रयास करते हैं जब तक कि सही का पता न चल जाए।
इस प्रकार के हमले में सभी डेटा उल्लंघनों का लगभग 5% हिस्सा है। हमलावरों को मैन्युअल रूप से पासवर्ड दर्ज करने की आवश्यकता नहीं है। इसके बजाय, वे एक एल्गोरिथ्म बनाते हैं या सही संयोजन मिलने तक उपयोगकर्ता नाम और पासवर्ड के विभिन्न संयोजनों को स्वचालित रूप से चलाने के लिए आसानी से उपलब्ध सॉफ़्टवेयर का उपयोग करते हैं।
जानवर बल हैकिंग उपकरण प्रति सेकंड टन पासवर्ड उत्पन्न करने के लिए डिज़ाइन किए गए हैं। एक शक्तिशाली सीपीयू और जीपीयू के साथ संयुक्त, ये स्वचालित उपकरण कुछ ही दिनों में एक मजबूत एन्क्रिप्शन कुंजी को रोक सकते हैं।
अब पासकोड में अधिक चर हो सकते हैं, वे छोटे लोगों की तुलना में तेजी से दरार करने के लिए अधिक कठिन होते हैं। आज, अधिकांश सममित एल्गोरिदम 128 या 256-बिट कुंजियों का उपयोग करते हैं, जो कि क्रूर बल के माध्यम से क्रैक नहीं किया जा सकता है।
अधिक विशेष रूप से, सबसे तेज़ सुपर कंप्यूटर (100 पेटाफ्लॉप की गति के साथ) को 256-बिट एईएस कुंजी को समाप्त करने के लिए 3.67 × 1055 वर्ष की आवश्यकता होगी।
उदाहरण : 2018 में, फ़ायरफ़ॉक्स के मास्टर पासवर्ड सिस्टम को आसानी से जानवर के बल का उपयोग करके बाईपास किया जा सकता है। लाखों उपयोगकर्ताओं के पासवर्ड मैलवेयर और हैकर्स के लिए असुरक्षित थे। एक साल बाद, फ़ायरफ़ॉक्स ने इस सुरक्षा गड़बड़ को ठीक करने के लिए एक अपडेट दिया।
5. Phishing
संवेदनशील जानकारी प्राप्त करने का गैरकानूनी प्रयास
फ़िशिंग व्यक्तिगत वेबसाइटों, जैसे पासवर्ड और क्रेडिट कार्ड के विवरण, भ्रामक वेबसाइटों और ईमेल का उपयोग करने की कोशिश करने की एक तकनीक है। यह त्वरित संदेश और पाठ संदेश के माध्यम से भी किया जाता है, जहां एक हमलावर, एक विश्वसनीय इकाई के रूप में, एक पीड़ित को व्यक्तिगत विवरण में धोखा देता है।
फ़िशिंग का उपयोग मैलवेयर वितरित करने के लिए भी किया जा सकता है, उपयोगकर्ताओं को एक लिंक पर जाने के लिए प्रोत्साहित करने या एक दस्तावेज़ डाउनलोड करने के लिए जो गुप्त रूप से डिवाइस पर एक दुर्भावनापूर्ण स्क्रिप्ट स्थापित करेगा। बड़े पैमाने पर, इसका उपयोग निजी संगठनों या सरकारी नेटवर्क में पैर जमाने के लिए किया जाता है।
उदाहरण के लिए, एक उन्नत लगातार खतरे में, कर्मचारियों के डेटा को सुरक्षा मापदंडों को दरकिनार करने के लिए समझौता किया जाता है, एक बंद वातावरण के भीतर दुर्भावनापूर्ण प्रोग्राम फैलाते हैं, या निजी डेटा तक पहुंच प्राप्त करते हैं। इस प्रकार का हमला एक विस्तारित अवधि के लिए अनिर्धारित रह सकता है।
वेरिज़ोन की डेटा ब्रीच जांच रिपोर्ट के अनुसार, 2019 में 22% उल्लंघनों में फ़िशिंग शामिल था। दुनिया भर के लगभग 88% संगठनों ने भाला-फ़िशिंग के प्रयासों का अनुभव किया। अमेरिकी संगठन के 65% ने 2019 में एक सफल फ़िशिंग हमले का अनुभव किया, जो दुनिया के औसत से लगभग 10% अधिक है।
उदाहरण: 2016 में सबसे अधिक परिणामी फ़िशिंग हमलों में से एक हुआ जब हमलावर हिलेरी क्लिंटन अभियान के अध्यक्ष चेयरमैन पोडेस्टा के जीमेल खाते को हैक करने में कामयाब रहे। अमेरिकी चुनाव परिणामों के कुछ घंटों के भीतर, रूसी हैकर्स ने नकली समाचार प्रकाशित करने के लिए फ़िशिंग ईमेल (स्पूफ हार्वर्ड यूनिवर्सिटी के ईमेल पते से) भेजे।
4. Worm
एक स्वसंपूर्ण, स्व-प्रतिकृति मैलवेयर
एक कंप्यूटर वर्म डिवाइस से डिवाइस में खुद की प्रतियां फैलाता है। यह किसी भी उपयोगकर्ता बातचीत के बिना खुद को दोहराता है और नुकसान का कारण बनने के लिए खुद को एक सॉफ्टवेयर प्रोग्राम में संलग्न करता है।
जबकि अधिकांश कीड़े स्पैम ईमेल या त्वरित संदेशों में संलग्नक के माध्यम से उपकरणों में आते हैं, उन्हें सॉफ्टवेयर कमजोरियों के माध्यम से भी प्रेषित किया जा सकता है। एक बार जब ये अटैचमेंट खुल जाते हैं या इंस्टॉल हो जाते हैं, तो वे बैकग्राउंड में चुपचाप काम करते हैं, सिस्टम फाइल्स को संक्रमित करते हैं।
कीड़े दुर्भावनापूर्ण स्क्रिप्ट को इंजेक्ट कर सकते हैं और मौजूदा फ़ाइलों को संशोधित / हटा सकते हैं। कुछ कीड़े सिस्टम संसाधनों को समाप्त करने के लिए डिज़ाइन किए गए हैं, जैसे कि मेमोरी स्पेस या बैंडविड्थ। वे खुद की प्रतियां बनाकर और साझा नेटवर्क को ओवरलोड करके ऐसा करते हैं।
उदाहरण: वास्तविक-दुनिया के प्रभाव वाला पहला कंप्यूटर कीड़ा, रॉबर्ट मॉरिस द्वारा 1988 में विकसित किया गया था। इसके डेवलपर्स के नाम पर, मॉरिस वर्म ने ARPANET से जुड़ी 60,000 मशीनों में से लगभग 10% के लिए सेवा से वंचित कर दिया। 2003 में, ब्लास्टर नामक एक और कीड़ा ने माइक्रोसॉफ्ट के अपने सर्वर के खिलाफ DDoS हमलों की शुरुआत की, जिसमें लगभग 2 बिलियन डिवाइस थे।
3. Keylogger
उपयोगकर्ता की जानकारी के बिना कीबोर्ड पर रिकॉर्ड कीज़ मारा गया
कीस्ट्रोक लॉगिंग टूल मैलवेयर के सबसे पुराने रूपों में से एक हैं, जो टाइपराइटर पर वापस डेटिंग करते हैं। यह अभी भी बड़े साइबर हमलों के हिस्से के रूप में उपयोग किया जाता है। इसकी सबसे बुनियादी परिभाषा में, एक keylogger कंप्यूटर पर कीस्ट्रोक्स का पता लगाता है।
यद्यपि यह एक सरल सॉफ्टवेयर है, हमलावर इसे कीबोर्ड के माध्यम से टाइप किए गए उपयोगकर्ताओं के डेटा और संवेदनशील जानकारी को चुराने के लिए एक शक्तिशाली उपकरण के रूप में उपयोग कर सकते हैं। यह हमलावरों को ईमेल आईडी, पासवर्ड, खाता संख्या, पिन कोड और अन्य गोपनीय जानकारी तक पहुंचने का लाभ देता है।
हार्डवेयर-आधारित keyloggers को कीबोर्ड और कंप्यूटर के बीच इनलाइन प्लग किया जा सकता है, या BIOS-स्तर फर्मवेयर के माध्यम से स्थापित किया जा सकता है। सॉफ्टवेयर आधारित कीलॉगर को फिशिंग मेल से वेबपेज स्क्रिप्ट या अटैचमेंट फाइल के जरिए इंस्टॉल किया जा सकता है। जब उपयोगकर्ता किसी हानिकारक साइट पर जाता है या किसी ईमेल से जुड़ी एक संदिग्ध फ़ाइल खोलता है तो यह स्वचालित रूप से स्थापित हो जाता है।
उदाहरण: 2000 में, एफबीआई ने दो रूसी साइबर अपराधियों को पकड़ने के लिए एक कीलॉगर का इस्तेमाल किया। Keylogger को गुप्त रूप से एक मशीन पर स्थापित किया गया था, और FBI रूस में संदिग्धों के कंप्यूटर का उपयोग करता था। एफबीआई उन पर मुकदमा चलाने के लिए पर्याप्त साक्ष्य प्राप्त करने में सक्षम थी। 2018 में, Google ने प्ले स्टोर से 145 ऐप हटाए जिसमें कीलिंग मैलवेयर थे।
2. Human Error
कर्मचारी कभी-कभी गलतियाँ करते हैं जो प्रमुख डेटा उल्लंघनों का कारण बनते हैं
डेटा ब्रीच डिफेंस में इंसान अक्सर सबसे कमजोर कड़ी होता है। उदाहरण के लिए, आईटी टीमें गलती से सर्वर को गलत तरीके से बताकर ग्राहकों की व्यक्तिगत जानकारी को उजागर कर सकती हैं, या कर्मचारी कंपनी की रिपोर्ट को किसी बाहरी व्यक्ति को ईमेल के माध्यम से भेज सकते हैं जो थोक में भेजे जाते हैं।
यूके के सूचना आयुक्त कार्यालय (ICO) द्वारा किए गए अध्ययन के अनुसार, मानवीय त्रुटियों के कारण 2019 में 90% साइबर डेटा का उल्लंघन हुआ।
साइबसेफ़, क्लाउड-आधारित साइबर सुरक्षा जागरूकता प्लेटफॉर्म, ने बताया कि 2019 में आईसीओ को सूचित किए गए 2,376 उल्लंघनों में से 10 में से 9 एंड-यूज़र्स द्वारा किए गए दोषों के कारण थे। यह पिछले दो वर्षों से 61% और 87% है।
उदाहरण: 2017 में, अपने देश के उप-डोमेन के लिए लिंक्डइन द्वारा उपयोग किए गए एसएसएल प्रमाणपत्र की समय सीमा समाप्त हो गई है। हालांकि इस घटना ने www.linkedin.com को प्रभावित नहीं किया, लेकिन इसने कुछ अन्य उप-डोमेन के साथ us.linkedin.com को अमान्य कर दिया। परिणामस्वरूप, कई घंटों तक लाखों उपयोगकर्ता लिंक्डइन तक नहीं पहुंच पाए।
1. Improper Disposal or Irresponsible Resale
कई संगठन पुराने हार्डवेयर को ठीक से नष्ट नहीं करते हैं
संगठन, विशेष रूप से छोटे वाले, अक्सर हार्डवेयर और बुनियादी ढांचे को अपग्रेड करते समय डेटा सुरक्षा को ध्यान में नहीं रखते हैं। हार्डवेयर जीवन चक्र का अंत जिम्मेदार भंडारण प्रबंधन का एक महत्वपूर्ण पहलू है।
हैकिंग के कारण सभी डेटा ब्रीच नहीं होते हैं। कुछ अनुचित निपटान और गैर जिम्मेदाराना पुनर्विक्रय के परिणाम हैं। गोपनीय डेटा को सुरक्षित करने के लिए, कंपनियों को डेटा को नष्ट करना चाहिए या हार्डवेयर को भौतिक रूप से नष्ट करना चाहिए।
नेशनल इंस्टीट्यूट फॉर स्टैंडर्ड एंड टेक्नोलॉजी ने उचित मीडिया स्वच्छता और डेटा विवाद के लिए दिशानिर्देश प्रकाशित किए हैं। वे सुझाव देते हैं कि सॉफ्टवेयर-आधारित विधियाँ, जैसे कि शुद्ध-स्तर की सफाई, मीडिया सतह पर सभी भंडारण क्षेत्रों के डेटा को पूरी तरह से समाप्त नहीं कर सकती हैं।
उदाहरण: 2017 में, ह्यूस्टन शहर के एक सरकारी कार्यालय के डेस्कटॉप ऑनलाइन नीलामी में बेचे गए। जांच के बाद, यह पाया गया कि 38 में से 23 कंप्यूटरों में निजी जानकारी से भरे हार्ड ड्राइव थे।
उसी वर्ष, न्यू जर्सी में ShopRite फार्मेसी ने एक इलेक्ट्रॉनिक उपकरण की खोज की, जो पहले इसके भंडारण को मिटाए बिना निपटाया गया था। इसमें 10,000 रोगियों की व्यक्तिगत जानकारी शामिल थी, जिसमें उनके नाम, जन्म तिथि, हस्ताक्षर, फोन नंबर, विज्ञापन चिकित्सा पर्चे शामिल थे।
