चीनी डेटा लीक में 1 अरब रिकॉर्ड उजागर

साइबरहूट के साथ आज ही अपना व्यवसाय सुरक्षित करें!!!

अभी साइनअप करें

चीन अब तक के सबसे बड़े डेटा उल्लंघनों में से एक के बीच फंस गया है, जब एक सरकारी डेवलपर ने एक लोकप्रिय मंच पर एक ब्लॉग पोस्ट लिखा जिसमें शंघाई पुलिस डेटाबेस के क्रेडेंशियल्स शामिल थे। यह कोई बहुत आश्चर्यजनक बात नहीं है, क्योंकि पिछले वर्ष 82% उल्लंघन ये आंशिक रूप से मानवीय भूल के कारण थे। इसमें निम्नलिखित चीज़ें शामिल हैं: फ़िशिंग, चोरी किए गए क्रेडेंशियल्स का उपयोग, गलत कॉन्फ़िगरेशन और साधारण गलतियाँ।

ख़तरा पैदा करने वाले तत्व डेटा पर अपना कब्ज़ा करने में कामयाब रहे और उन्होंने 23 टेराबाइट डेटा को डार्क वेब पर बिक्री के लिए डाल दिया। कुल मिलाकर, इस लीक में लगभग एक अरब चीनी नागरिकों की निजी जानकारी शामिल है।

डेटा लीक

चीनी अरबपति और बिनेंस के सीईओ झाओ चांगपेंग ने इस हफ़्ते की शुरुआत में कहा था कि बिनेंस की ख़तरा खुफिया टीम ने डार्क वेब पर बिक्री के लिए एक अरब रिकॉर्ड का पता लगाया है। बाद में उन्होंने बताया कि चाइना सॉफ़्टवेयर डेवलपमेंट नेटवर्क (CSDN) पर एक सरकारी डेवलपर के ब्लॉग पोस्ट में गलती से शंघाई पुलिस डेटाबेस के क्रेडेंशियल शामिल हो गए थे:

डेटा लीक में महत्वपूर्ण मात्रा में जानकारी शामिल है गैर-सार्वजनिक व्यक्तिगत जानकारी (एनपीआईआई) इससे एक अरब चीनी नागरिकों की जान को खतरा हो सकता है। लीक हुए डेटा में चीनी नागरिकों के नाम, पते, जन्मस्थान, राष्ट्रीय पहचान पत्र, फ़ोन नंबर, स्वास्थ्य रिकॉर्ड और आपराधिक रिकॉर्ड शामिल थे। यह इस बात का एक और उदाहरण है कि क्यों कंपनियों को अपने कर्मचारियों को साइबर सुरक्षा प्रशिक्षण देने के प्रति गंभीर होना चाहिए।

यह डेटा ब्रीच फ़ोरम पर पोस्ट किया गया था, जो हैकर्स द्वारा जानकारी खरीदने और बेचने के लिए एक लोकप्रिय साइट है। रिपोर्ट के अनुसार, यह निजी डेटा 'चाइनाडैन' नाम के एक अनाम हैकर द्वारा पोस्ट किया गया था। धमकीपोस्ट में, 'चाइनाडैन' ने दावा किया कि उसने अलीबाबा द्वारा होस्ट किए गए क्लाउड स्टोरेज सर्वर से डेटा डाउनलोड किया है। हैकर पूरे डेटा के बदले 10 बिटकॉइन, यानी लगभग 200,000 डॉलर, मांग रहा था।

कीपर सिक्योरिटी के सीटीओ और सह-संस्थापक क्रेग लूरे ने डेटा लीक पर अपनी प्रतिक्रिया साझा की:

"यह बुनियादी पासवर्ड प्रबंधन और सीक्रेट प्रबंधन को लागू करने में एक भयावह विफलता का अंतिम परिणाम है। डेटाबेस क्रेडेंशियल जैसे सीक्रेट्स को कभी भी सोर्स कोड में हार्ड-कोड नहीं किया जाना चाहिए, यही इस उल्लंघन का कारण बना।"

यह ध्यान रखना महत्वपूर्ण है कि कई पासवर्ड प्रबंधक संगठनों को सख्त, जानबूझकर स्थापित करने की अनुमति देते हैं भूमिका-आधारित अभिगम नियंत्रण (RBAC)संवेदनशील डेटा और रहस्यों की सुरक्षा के लिए बुनियादी ढांचे तक विशेषाधिकार प्राप्त पहुंच के साथ-साथ।

इसका क्या मतलब है?

यह डेटा लीक दर्शाता है कि सुरक्षा मंज़ूरी प्राप्त सरकारी कर्मचारी भी ऐसी गलतियाँ कर सकते हैं जिनके भयावह परिणाम हो सकते हैं। ज़ाहिर है, इतनी मंज़ूरी प्राप्त व्यक्ति के पास ऐसे डेटाबेस तक पहुँच होती है, जबकि एक औसत कंपनी के औसत कर्मचारी के पास केवल अपनी कंपनी और ग्राहकों की जानकारी तक ही पहुँच होती है। इसका मतलब यह नहीं है कि औसत कर्मचारी कोई ख़तरा पैदा नहीं करता, बल्कि इसका मतलब है कि किसी गलतियाँ कर सकते हैं और आपकी कंपनी को जोखिम में डाल सकते हैं। यह सुनिश्चित करना ज़रूरी है कि आपके कर्मचारियों को पासवर्ड की उचित स्वच्छता, महत्वपूर्ण जानकारी को कैसे संभालना है और उनके कार्यदिवस के अन्य पहलुओं के बारे में शिक्षित किया जाए जो कंपनी या ग्राहक के डेटा को जोखिम में डाल सकते हैं।

इस उल्लंघन से प्राप्त संदेश:

1. चूँकि विकास संबंधी सर्वोत्तम प्रथाएँ आमतौर पर डेटाबेस और एप्लिकेशन कॉन्फ़िगरेशन फ़ाइलों में पासवर्ड को हार्ड-कोड करने से रोकती हैं, ऐसा प्रतीत होता है कि सरकारी डेवलपर्स को साइबरहूट के OWASP टॉप 10 सुरक्षा सर्वोत्तम प्रथाओं जैसे सुरक्षित कोडिंग प्रशिक्षण से नहीं गुजरना पड़ा है। अगर आपकी कंपनी सॉफ़्टवेयर विकसित करती है, तो अपने डेवलपर्स को सुरक्षित कोडिंग प्रथाओं का प्रशिक्षण दिलाएँ।
2. भले ही आपकी कंपनी सॉफ्टवेयर विकसित नहीं करती हो, यह क्रेडेंशियल त्रुटि मजबूत और विश्वसनीय दोनों के महत्वपूर्ण महत्व को रेखांकित करती है। पासवर्ड स्वच्छता और बहु-कारक प्रमाणीकरण एक अरब चीनी नागरिकों वाले डेटाबेस जैसी महत्वपूर्ण संपत्तियों पर। एमएफए के बिना किसी को भी इतनी बड़ी मात्रा में डेटा तक पहुँच नहीं मिलनी चाहिए।

सभी कंपनियों को अपने साइबर सुरक्षा कार्यक्रमों में शामिल किए जाने वाले न्यूनतम आवश्यक साइबर सुरक्षा उपायों के बारे में अधिक जानने के लिए पढ़ना जारी रखें।

साइबरहूट की न्यूनतम आवश्यक साइबर सुरक्षा अनुशंसाएँ

निम्नलिखित सिफारिशें आपको और आपके व्यवसाय को दिन-प्रतिदिन आने वाले विभिन्न खतरों से सुरक्षित रहने में मदद करेंगी। नीचे सूचीबद्ध सभी सुझाव साइबरहूट की vCISO कार्यक्रम विकास सेवाओं को किराए पर लेकर प्राप्त किए जा सकते हैं।

1. नीतियों और प्रक्रियाओं के ज़रिए कर्मचारियों को नियंत्रित करें। आपको कम से कम एक पासवर्ड नीति, एक स्वीकार्य उपयोग नीति, एक सूचना प्रबंधन नीति और एक लिखित सूचना सुरक्षा कार्यक्रम (WISP) की आवश्यकता होगी।
2. कर्मचारियों को प्रशिक्षित करें कि वे कैसे पहचानें और कैसे बचें फ़िशिंग हमलेकर्मचारियों को अधिक आत्मविश्वासी, उत्पादक और सुरक्षित बनने के लिए आवश्यक कौशल सिखाने के लिए साइबरहूट जैसी लर्निंग मैनेजमेंट प्रणाली को अपनाएं।
3. अभ्यास के लिए कर्मचारियों को फ़िशिंग हमलों के साथ परीक्षण करें। साइबरहूट का फ़िश परीक्षण व्यवसायों को विश्वसनीय फ़िशिंग हमलों के साथ कर्मचारियों का परीक्षण करने और विफल होने वालों को सुधारात्मक फ़िश प्रशिक्षण में रखने की अनुमति देता है।
4. महत्वपूर्ण साइबर सुरक्षा प्रौद्योगिकी को तैनात करना, जिसमें शामिल हैं दो तरीकों से प्रमाणीकरण सभी महत्वपूर्ण खातों पर। ईमेल स्पैम फ़िल्टरिंग सक्षम करें, बैकअप सत्यापित करें, और DNS सुरक्षा लागू करें, एंटीवायरस, और आपके सभी एंडपॉइंट्स पर एंटी-मैलवेयर।
5. आधुनिक वर्क-फ्रॉम-होम युग में, सुनिश्चित करें कि आप अपने नेटवर्क से कनेक्ट होने वाले व्यक्तिगत उपकरणों का प्रबंधन उनकी सुरक्षा (पैचिंग, एंटीवायरस, DNS सुरक्षा) को सत्यापित करके या उनके उपयोग को पूरी तरह से प्रतिबंधित करके कर रहे हैं।
6. अगर आपने पिछले 3 सालों में किसी तीसरे पक्ष से जोखिम मूल्यांकन नहीं करवाया है, तो आपको अब करवा लेना चाहिए। अपने संगठन में एक जोखिम प्रबंधन ढाँचा स्थापित करना आपके सीमित समय और धन के साथ आपके सबसे गंभीर जोखिमों से निपटने के लिए बेहद ज़रूरी है।
7. किसी भी भयावह दुर्घटना की स्थिति में अपनी सुरक्षा के लिए साइबर बीमा खरीदें। साइबर बीमा कार, आग, बाढ़ या जीवन बीमा से अलग नहीं है। यह तब काम आता है जब आपको इसकी सबसे ज़्यादा ज़रूरत होती है।

साइबर बीमा को छोड़कर, इनमें से प्रत्येक सुझाव साइबरहूट के उत्पाद और वर्चुअल मुख्य सूचना सुरक्षा अधिकारी सेवाओं में अंतर्निहित है। साइबरहूट के साथ आप अपने कर्मचारियों को नियंत्रित, प्रशिक्षित, मूल्यांकन और परीक्षण कर सकते हैं। देखें साइबरहूट.कॉम और आज ही हमारी सेवाओं के लिए साइन अप करें। कम से कम हमारे मासिक कार्यक्रम में नामांकन करके सीखना जारी रखें। साइबर सुरक्षा न्यूज़लेटर्स वर्तमान साइबर सुरक्षा अपडेट के शीर्ष पर बने रहने के लिए।

चीनी डेटा लीक के बारे में अधिक जानने के लिए, यह 3 मिनट का छोटा वीडियो देखें:

स्रोत: 

सिक्योरवर्ल्ड

अतिरिक्त पठन सामग्री:

आउटलुक 'ऑटोडिस्कवर' पासवर्ड लीक कर रहा है

डेटा स्पिल साइबररी टर्म

लीकवेयर साइबररी शब्द