कल रात एक अनाम हैकर ने अपने कब्जे में होने का दावा किया ड्रॉपबॉक्स खातों में 7 मिलियन पासवर्ड। हालांकि यह दावा शायद झूठा था, यह उस तेजी से सामान्य तरीके को प्रदर्शित करता है जिसका उपयोग हैकर्स आपके पासवर्ड तक पहुंच प्राप्त करने के लिए कर रहे हैं।
हैकर ने मुख्य सूची के लिए 'टीज़र' की एक श्रृंखला में गुमनाम नोट साइट पेस्टबिन पर लगभग 400 उपयोगकर्ता नाम और पासवर्ड पोस्ट किए। कुछ रेडिट उपयोगकर्ता कंपनी द्वारा सभी लीक हुए पासवर्ड को निष्क्रिय करने से पहले पोस्ट की गई जानकारी का उपयोग करके ड्रॉपबॉक्स में सफलतापूर्वक लॉग इन करने में सक्षम थे।
परंतु ड्रॉपबॉक्स को दावों पर संदेह करने की जल्दी थी , इस बात से इनकार करते हुए कि इसे हैक किया गया था और दावा किया कि कई उपयोगकर्ता नाम और पासवर्ड ड्रॉपबॉक्स खातों से भी संबंधित नहीं थे।
तो पासवर्ड कहाँ से आते हैं? आखिरकार, उन्होंने कुछ समय के लिए काम किया।
जानकारी का सबसे संभावित स्रोत एक तृतीय-पक्ष साइट है जिसकी सुरक्षा खराब थी। हैकर्स जानते हैं कि अधिकांश इंटरनेट उपयोगकर्ता अपने पासवर्ड का पुन: उपयोग करते हैं, इसलिए वे अक्सर शौकिया डेवलपर्स द्वारा बनाए गए छोटे ऐप्स को लक्षित करते हैं। इन आसान लक्ष्यों की सुरक्षा खराब होती है--इसलिए उपयोगकर्ता नाम, पासवर्ड या फ़ाइलें इस तरह से संग्रहीत की जा सकती हैं कि हैकर्स के लिए उन्हें चोरी करना आसान हो।
हाल ही में स्नैपचैट हैक , जिसने लगभग 100,000 निजी फ़ोटो और वीडियो ऑनलाइन पोस्ट किए, ऐसा इसलिए हुआ क्योंकि एक शौकिया डेवलपर ने अपनी वेबसाइट को सुरक्षित रूप से सेट नहीं किया था। Snapsaved Facebook पेज पर एक पोस्ट में , साइट के अनाम संस्थापक बताते हैं कि एक गलत कॉन्फ़िगर किए गए अपाचे सर्वर ने फाइलों को हैकर्स के लिए असुरक्षित छोड़ दिया।
हैकर्स को अब टेक दिग्गजों को निशाना बनाने की कोशिश करने की जरूरत नहीं है। Google, Apple या Facebook के सर्वर को हैक करने की कोशिश क्यों करें, जब आप समान जानकारी प्राप्त करने के लिए खराब तरीके से बनाई गई वेबसाइट का लाभ उठा सकते हैं?
अब हम देख रहे हैं कि हैकर्स एक नए तरीके का इस्तेमाल करते हैं। बड़ी साइटों में कमजोरियों को खोजने में महीनों खर्च करने के बजाय, वे शौकिया तृतीय-पक्ष ऐप्स से चुराई गई लॉगिन जानकारी का पुन: उपयोग करते हैं। संभावना है कि जानकारी कई साइटों के लिए काम करती है, इसलिए डेटा के इन कैश को एक साथ संकलित करने से लाखों पासवर्डों की सूची जल्दी बन सकती है।
सितम्बर में, रूसी हैकर्स ने एक सूची प्रकाशित की जीमेल सहित विभिन्न ईमेल प्रदाताओं के लिए 5 मिलियन पासवर्ड। यह कोई नया लीक नहीं था, लेकिन पुराने पासवर्ड लीक का एक संग्रह नया प्रतीत होने के लिए एक साथ संकलित किया गया था। ज़रूर, कई ईमेल खाते बंद हो गए थे, लेकिन जानकारी को अभी भी डाउनलोड किया जा सकता था और हैकर्स द्वारा अन्य खातों में सेंध लगाने के लिए उपयोग किया जा सकता था।
तो हैकर्स पुरानी जानकारियों का फिर से इस्तेमाल क्यों कर रहे हैं? इस बात के बहुत कम प्रमाण हैं कि वे वास्तव में साइटों में लॉग इन करने के लिए पासवर्ड का उपयोग करते हैं। इसके बजाय, ऐसा लगता है कि वे केवल जानकारी ऑनलाइन पोस्ट करते हैं। या कम से कम, वे कुछ जानकारी ऑनलाइन पोस्ट करते हैं। जैसा कि हमने पहले बताया, हैकर्स 'टीज़र' के रूप में पासवर्ड के आंशिक संग्रह को लीक कर देते हैं। यह अक्सर बिटकॉइन दान के अनुरोध के साथ होता है।
हम बिटकॉइन पतों की सार्वजनिक प्रकृति का उपयोग यह देखने के लिए कर सकते हैं कि ऑनलाइन पासवर्ड पोस्ट करने के लिए हैकर्स को कितना लाभ होता है। यह अक्सर उनकी अपेक्षा से कम होता है। ड्रॉपबॉक्स पासवर्ड का संग्रह साझा करने वाले हैकर सिर्फ 8 सेंट प्राप्त किया . इसी तरह, ओरिजिनलग्यू, हैक किए गए आईक्लाउड सेलिब्रिटी फोटो की पहली लहर के पीछे गुमनाम मंच पोस्टर, दान की छोटी सी छल पर निराशा व्यक्त की वह उनके रास्ते आया, टिप्पणी करते हुए:
निश्चित रूप से, मुझे अपने बिटकॉइन पते के साथ $ 120 मिले, लेकिन जब आप विचार करते हैं कि इस सामान को प्राप्त करने में कितना समय लगा (मैं हैकर नहीं, सिर्फ एक कलेक्टर हूं), और पैसा (मैंने बिटकॉइन के माध्यम से बहुत कुछ प्राप्त करने के लिए भुगतान किया है। सेट जब यह सामान शुक्रवार/शनिवार को निजी तौर पर कारोबार किया जा रहा था) मैं वास्तव में उस चीज़ के करीब नहीं आया जिसकी मैं उम्मीद कर रहा था।
हम अधिक से अधिक पासवर्ड ऑनलाइन लीक होते देख रहे हैं। शौकिया डेवलपर्स पासवर्ड सुरक्षा को आगे नहीं बढ़ा रहे हैं, और मौजूदा लीक फिर से सामने आ रहे हैं। जबकि सार्वजनिक की गई जानकारी अक्सर कई साल पुरानी होती है (ड्रॉपबॉक्स पासवर्ड के साथ पोस्ट किए गए कई ईमेल 2012 में निष्क्रिय कर दिए गए थे), यह अभी भी अन्य साइटों के खिलाफ हमलों में उपयोग किए जाने वाले ईमेल पते और पासवर्ड की बड़ी सूची संकलित करने वाले हैकर्स के लिए मूल्यवान है। .
और, यदि यह स्पष्ट नहीं है, तो यह आपकी भी गलती है: यदि आप अलग-अलग ऐप्स के साथ एक ही पासवर्ड का बार-बार उपयोग कर रहे हैं तो हैकर्स को उन्हें खोजने के लिए ऐप्पल या फेसबुक के सर्वर में जाने की आवश्यकता नहीं है। वे सबसे कमजोर पासवर्ड सुरक्षा वाले छोटे ऐप्स की पहचान करते हैं।
--यह कहानी पहली बार दिखाई दिया व्यापार अंदरूनी सूत्र।
