डार्क वेब पर बिक्री के लिए आपके पासवर्ड कैसे समाप्त हो सकते हैं

शिक्षा


पिछले महीने, ज़ूम उन कंपनियों की एक लंबी सूची में शामिल हो गया, जिनके उपयोगकर्ता डेटा हैकर्स के शिकार हो गए हैं। अंधेरे वेब पर बेहद लोकप्रिय वीडियो कॉन्फ्रेंसिंग प्लेटफ़ॉर्म के लिए आधे मिलियन से अधिक खाता लॉगिन, या तो मुफ्त में या अगले कुछ भी नहीं करने के लिए पेश किए गए थे। हालांकि कुछ उपयोगकर्ताओं को इसके लिए कंपनी को दोष देने का प्रलोभन दिया जा सकता है, यह वास्तव में एक बहुत बड़ी समस्या का हिस्सा है जिसमें हैकर्स, इंटरनेट का एक कानूनन कोना और बेहतर पासवर्ड चुनने में हमारी अपनी विफलता शामिल है।

यहां बताया गया है कि आपकी निजी जानकारी डार्क वेब पर कैसे समाप्त होती है – और आप अपनी सुरक्षा के लिए क्या कर सकते हैं।

पासवर्ड की समस्या:

फ़िशिंग, मैलवेयर और अन्य प्रकार के हमलों के माध्यम से डेटा उल्लंघनों में हर साल करोड़ों खातों का समझौता किया जाता है। कैलिफोर्निया स्थित गैर-लाभकारी गोपनीयता अधिकार क्लीयरहाउस द्वारा चल रही रैली के अनुसार, 2005 के बाद से 11.6 बिलियन से अधिक रिकॉर्ड तोड़ दिए गए हैं।

उन खातों को अक्सर हैकर मंचों पर डंप कर दिया जाता है या डार्क वेब पर डाल दिया जाता है, वेबसाइटों का एक संग्रह जिसे केवल टोर नामक एक विशेष प्रकार के ब्राउज़र द्वारा एक्सेस किया जा सकता है (यह ऑनियन राउटर के लिए खड़ा है, और डार्क वेब साइट .onion के साथ समाप्त होती हैं। )। मूल रूप से अमेरिकी ऑनलाइन ने 2002 में अनाम ऑनलाइन संचार को सक्षम करने के लिए बनाया है, सिस्टम के एन्हांस्ड एन्क्रिप्शन और गुमनामी का मतलब है कि इसका उपयोग अक्सर दवा की बिक्री सहित अवैध गतिविधि के लिए किया जाता है।

हैकर्स चोरी किए गए पासवर्ड के डेटाबेस खरीदते हैं और एक काम होने तक उनके साथ अन्य वेबसाइटों पर बमबारी करते हैं, एक काफी सामान्य तकनीक जिसे क्रेडेंशियल स्टफिंग कहा जाता है। अटलांटा स्थित साइबरसिटी फर्म साइबल के सीईओ बीनू अरोरा के अनुसार, वे विभिन्न संयोजनों के साथ पासवर्ड के बदलाव भी करते हैं। यदि उन पासवर्डों में से एक दूसरी सेवा पर काम करता है – एक बैंक, उदाहरण के लिए – इसे फिर से डार्क वेब पर पोस्ट या बेचा जा सकता है।

“एक बहुत कुछ होता है”, ब्रूस श्नेयर, एक साइबर सुरक्षा विशेषज्ञ और हार्वर्ड विश्वविद्यालय के बर्कमैन सेंटर फॉर इंटरनेट एंड सोसाइटी में एक साथी। “एक बड़ा डेटा ब्रीच है, और फिर कोई व्यक्ति Google पर एक बैंक में एक ही उपयोगकर्ता नाम और पासवर्ड की कोशिश करेगा। आप बस इसे आज़माएं। हम में से बहुत से लोग पासवर्ड का पुन: उपयोग करते हैं, इसलिए आप भाग्यशाली हो सकते हैं।” क्रेडेंशियल स्टफिंग की संभावना थी कि कैसे हैकर 500,000 से अधिक जूम खातों तक पहुंच हासिल करने में कामयाब रहे, जो उन्होंने तब सिलेबल के अनुसार डार्क वेब पर पोस्ट किए थे, जो पहले उनकी उपलब्धता को चिह्नित करता था।

एक ज़ूम प्रवक्ता ने सीएनएन बिजनेस को पुष्टि की कि इसकी “चल रही जांच” से पता चलता है कि “खराब अभिनेता” क्रेडेंशियल स्टफिंग विधि पर भरोसा करते हैं। प्रवक्ता ने एक बयान में कहा, “इस तरह की गतिविधि द्वारा उपभोक्ताओं को सेवा देने वाली वेब सेवाओं के लिए यह आम बात है, जिसमें आमतौर पर बुरे अभिनेता शामिल होते हैं, जो अन्य प्लेटफार्मों से बड़ी संख्या में पहले से ही विश्वसनीय साख का परीक्षण करते हैं,” प्रवक्ता ने एक बयान में कहा।

ज़ूम खातों को बमुश्किल एक पैसे के लिए उपलब्ध कराया जा सकता है, लेकिन यह हमेशा ऐसा नहीं होता है – खासकर जब अधिक संवेदनशील या विस्तृत जानकारी से समझौता किया जाता है। अरोड़ा ने कहा कि डार्क वेब पर कुछ पासवर्ड, विशेष रूप से वे जो वित्तीय या चिकित्सीय जानकारी तक पहुंच प्रदान करते हैं, $ 1,000 के बराबर के लिए बेच सकते हैं। विशेषज्ञों का कहना है कि भेद्यता का मुख्य स्रोत यह है कि लोग एक ही पासवर्ड का उपयोग कई खातों में करते हैं या उनके पासवर्ड को बदलने के बाद भी नहीं बदलते हैं।

Microsoft का अनुमान है कि लगभग 73% पासवर्ड डुप्लिकेट हैं। ओबामा प्रशासन के एक पूर्व साइबर सुरक्षा अधिकारी और वर्तमान में साइबर रेडीनेस इंस्टीट्यूट के प्रबंध निदेशक कीर्स्टन टॉड ने कहा, “सबसे कमजोर कड़ी मानव व्यवहार है।” “हम अक्सर सोचते हैं कि इस सामान के लिए बहुत सारी गहरी तकनीकी इंजीनियरिंग और विज्ञान की आवश्यकता होती है, लेकिन वास्तव में वे सिर्फ एल्गोरिदम हैं” जो कई स्थानों पर आसानी से याद रखने वाले पासवर्ड का उपयोग करने की हमारी प्रवृत्ति का दोहन करते हैं, टॉड ने कहा।


पता करें कि क्या आप हैक किए गए हैं

कुछ कंपनियां हैं जो मुफ्त डार्क वेब स्कैन की पेशकश करती हैं, जो आपको जानकारी प्रस्तुत करने की अनुमति देती हैं, जिसमें आपके सामाजिक सुरक्षा नंबर, क्रेडिट कार्ड की जानकारी और फोन नंबर शामिल हैं, यदि आपको संदेह है कि उनमें से कोई हैक किया गया है।

कंपनियां तब आपके लिए डार्क वेब को स्कैन करेंगी और आपको बताएंगी कि क्या उन्हें कुछ भी मिलता है। लेकिन ये स्कैन मूर्ख नहीं हैं। एंटीवायरस सॉफ्टवेयर प्रदाता नॉर्टनलाइफॉक के शोधकर्ताओं ने एक ब्लॉग पोस्ट में लिखा, “किसी कंपनी के लिए पूरे डार्क वेब को खोजने का कोई तरीका नहीं है।” “आपके डेटा के उजागर होने पर एक स्कैन उजागर हो सकता है। लेकिन यह इसके हर उदाहरण को नहीं खोज सकता है।”

यदि आप उस अधिक समय लेने वाली प्रक्रिया से गुजरना पसंद नहीं कर रहे हैं, और कुछ ऐसी ही संवेदनशील जानकारी नहीं देना चाहते हैं जिसके बारे में आप चिंतित हैं, तो आप पहली बार में उजागर हो सकते हैं, कई साइटें ऐसी सेवाएं प्रदान करती हैं जो बस रहने देती हैं यदि आप अपना ईमेल पता दर्ज करते हैं और कुछ सेकंड के भीतर आपको बता देते हैं कि यह ज्ञात उल्लंघन का हिस्सा था या नहीं। दिसंबर में Google (GOOGL) ने अपने क्रोम ब्राउज़र में एक नया अपडेट जोड़ा जो लोगों को चेतावनी देता है कि अगर उनके उपयोगकर्ता नाम और पासवर्ड भंग हो गए हैं।

साइबल ने अपनी सेवा प्रदान की, एक वेबसाइट जिसका नाम AmIBreached.com है, जहां उपयोगकर्ता अपनी ईमेल आईडी दर्ज कर सकते हैं कि क्या और कब समझौता किया गया था। अन्य एंटीवायरस प्रदाता जैसे अवास्ट में समान सेवाएं हैं। श्नीयर ने कहा कि वह अपने हार्वर्ड छात्रों को hasibeenpwned.com पर अपने विवरण की जांच करवाता है।

जिज्ञासु, और थोड़ा चिंतित होने के रूप में मुझे एहसास हुआ कि मैंने पहले कभी भी जांच नहीं की थी, मैंने इनमें से कुछ सेवाओं के माध्यम से अपना व्यक्तिगत ईमेल पता चलाया। चिंताजनक कुछ सेकंड के बाद जब मेरा पूरा जीवन मेरी आंखों के सामने चमकता था, तो मैंने भयानक लाल विस्मयादिबोधक-बिंदु-भीतर-त्रिकोण का प्रतीक देखा और मुझे पता चला कि मैं 2017 में कम से कम दो बार भंग हुआ था।


मैं निश्चित रूप से नहीं जानता कि मैंने इंटरनेट का उपयोग करने वाले लगभग दो दशकों में कितनी साइटें लॉगिन की हैं, लेकिन जैसा कि मैंने पाया है, यह सब किसी भी सेवा से एक बुरा पासवर्ड है, हालांकि भूलने योग्य है। यह पता चलता है कि अपराधी 8ट्रैक थे, एक क्यूरेटेड प्लेलिस्ट सेवा जिसका मैंने कुछ महीनों तक एक किशोर के रूप में इस्तेमाल किया, इससे पहले कि स्पॉटिफ़ एक चीज़ बन गया, और दूसरा भारतीय यात्रा बुकिंग वेबसाइट Yatra.com के माध्यम से।
मुझे याद नहीं है कि पिछली बार मैंने या तो साइट का इस्तेमाल किया था, और शुक्र है कि मैंने 2017 से निश्चित रूप से अपने पासवर्ड बदल दिए हैं।

खुद की सुरक्षा कैसे करें

एक बार जब आपके खाते से छेड़छाड़ की जाती है, तो बहुत कुछ ऐसा नहीं है जिससे आप अपना पासवर्ड बदल सकें।


“तो मेरा पासवर्ड चोरी हो गया, क्या ऐसा कोई तरीका है जो मैं ग्रह पर हर अपराधी को उनके कंप्यूटर पर जा सकता हूं, और मेरा नाम हटा सकता हूं? नहीं,” श्नेयर ने कहा। “अपना पासवर्ड बदलें।”

यदि आप भंग नहीं हुए हैं, तो दूसरी ओर, आप केवल कम सामान्य पासवर्ड का उपयोग करके या अपने प्रत्येक खाते के लिए अलग-अलग पासवर्ड का उपयोग करके कई प्रकार के हमलों को रोक सकते हैं।


एक आसान तय, टॉड कहते हैं, “पास-वाक्यांशों” का उपयोग कर रहा है – पूर्ण वाक्य जो केवल एक शब्द या शब्द-संख्या संयोजन के बजाय कम से कम 15 वर्ण हैं। खेल टीमें भी निष्पक्ष खेल हैं, उन्होंने कहा, अगर आप ‘सैनफ्रांसिस्कोगिएंट्स’ के बजाय ‘मेरी पसंदीदा खेल टीम सैन फ्रांसिस्को दिग्गज’ जैसी किसी चीज का उपयोग कर रहे हैं।


और दर्जनों अलग-अलग पासवर्ड याद रखने में असमर्थ या अनिच्छुक लोगों के लिए, टॉड पासवर्ड मैनेजरों की सिफारिश करता है जैसे कि 1Password, LastPass और Dashlane – ऑनलाइन सेवाएँ जो कई पासवर्डों को एन्क्रिप्ट और स्टोर कर सकती हैं ताकि आपको उन्हें टाइप करना न पड़े और अपने आप उन्हें रोका जा सके। खातों में पुन: उपयोग किया जा रहा है।


यहां तक ​​कि उन सेवाओं को कभी-कभी कमजोर किया जा सकता है, हालांकि – लास्टपास 2015 में भंग हो गया था, जब हैकर्स को ईमेल पते, पासवर्ड रिमाइंडर और पासवर्ड के एन्कोड किए गए संस्करणों तक पहुंच प्राप्त हुई थी।


उपयोगकर्ता अपने पासवर्ड को अपने बीच एक और बाधा जोड़कर और कई साइटों पर लॉगिन करके भी किनारे कर सकते हैं। बहु-कारक प्रमाणीकरण, जिसे दो-कारक प्रमाणीकरण के रूप में भी जाना जाता है, को आपके पासवर्ड के साथ एक अतिरिक्त बाहरी क्रेडेंशियल की आवश्यकता होती है – जैसे कि आपका फिंगरप्रिंट, एक बार-बार बदलने वाला संयोजन जो आपको ऐप से मिलता है, या एक-बार कोड जो हो सकता है आपको ईमेल या टेक्स्ट किया गया।
टॉड का कहना है कि उपयोगकर्ताओं को एहसास करने की तुलना में हैकर्स को रोकने की क्षमता अधिक है।


“यह वास्तव में सशक्तिकरण का एक स्रोत है, अगर आप पहचानते हैं कि मजबूत प्रमाणीकरण होना आपकी शक्ति में है,” उसने कहा। “तो आप इसे रोकने के लिए और सामान्य दुर्भावनापूर्ण हमलों के अधिकांश प्रकारों को विफल करने के लिए अपनी शक्ति में हैं।”

Leave a Reply

Your email address will not be published.