क्या ड्रॉपबॉक्स हैक आप वेब सुरक्षा की स्थिति के बारे में सिखा सकते हैं
पिछले सप्ताह में, ड्रॉपबॉक्स एक हैक पर सुर्खियां बना रहा था जिसने इसे देखा था ईमेल पते और 68 मिलियन ड्रॉपबॉक्स खातों के पासवर्ड ने समझौता किया. किसी भी ड्रॉपबॉक्स उपयोगकर्ता के लिए यह निश्चित रूप से चिंता का विषय है, खासकर यदि आप ड्रॉपबॉक्स में कुछ भी स्टोर करते हैं, तो यह व्यक्तिगत हो या काम के लिए.
आपके फ़ोटो, दस्तावेज़, डेटा आदि को आपके ईमेल पते और उस विशेष हैक में खोए पासवर्ड का उपयोग करके आपकी जानकारी के बिना एक्सेस किया जा सकता है। अच्छी खबर है ड्रॉपबॉक्स हैक से कुछ भी दुर्भावनापूर्ण होने की कोई रिपोर्ट नहीं मिली है, अब तक। हालांकि, इसका मतलब यह नहीं है कि चिंता की कोई बात नहीं है.
ड्रॉपबॉक्स हैक के बारे में
सबसे पहले, आइए इसे बाहर निकाल दें: ड्रॉपबॉक्स हैक पिछले हफ्ते ही नहीं हुआ था। हैक में 68 मिलियन से अधिक ईमेल पते और पासवर्ड चोरी हो गए हैं, हां, लेकिन हैक खुद 4 साल पहले हुआ, 2012 में वापस.
एक हॉलीवुड हैकर दृश्य की कल्पना करने के बजाय (जिनमें से बहुत से हैकिंग को बहुत गलत पाया गया), हैक होने लगा मानवीय भूल के कारण.
हैकर्स ने ड्रॉपबॉक्स खातों में साइन-इन करने के लिए एक अन्य डेटा उल्लंघन से उपयोगकर्ता नाम और पासवर्ड का उपयोग किया था। इनमें से एक खाता है एक ड्रॉपबॉक्स कर्मचारी के थे, जिन्होंने भंग साइट के लिए और अपने ड्रॉपबॉक्स खाते के लिए एक ही पासवर्ड का उपयोग किया था.
संयोग से, उसी कर्मचारी के पास एक फ़ोल्डर भरा था 68,680,741 ड्रॉपबॉक्स खातों के ईमेल पते वाले दस्तावेज साथ ही साथ पासवर्ड हैश किए हैं. खेल, सेट और मैच.
1. ड्रॉपबॉक्स अकेला नहीं था; लिंक्डइन को भी इसी तरह हैक किया गया था
मई 2016 में वापस, लिंक्डइन ने पिछले सप्ताह के ड्रॉपबॉक्स हैक के समान कुछ की घोषणा की। उन्होंने अपने उपयोगकर्ताओं को ईमेल और पासवर्ड के एक सेट की चोरी के बारे में पता चलने के बाद लिंक्डइन उपयोगकर्ताओं को "सर्वोत्तम अभ्यास के मामले के रूप में" के लिए निहित किया - आपने अनुमान लगाया - 2012 में.
यदि आपने पिछले पैराग्राफ में उस लिंक पर क्लिक किया है, तो आपको इस बात का कोई उल्लेख नहीं मिलेगा कि यह कितना बड़ा डेटा नुकसान था तात्कालिकता की भावना स्पष्ट है उसके साथ लगातार अपडेट उस विशेष पेज पर.
जो हुआ वो हुआ 117 मिलियन से अधिक लिंक्डइन खाते प्रभावित हुए, हालांकि यह संभव है कि वास्तविक संख्या 167 मिलियन के रूप में उच्च हो सकता है.
2. हैक किए गए पासवर्ड अब पुनर्जीवित क्यों हो रहे हैं?
ड्रॉपबॉक्स और लिंक्डइन दोनों के डेटा सेट कथित तौर पर हैं अब डार्क वेब में कारोबार किया जा रहा है (या वे एक सप्ताह पहले तक अग्रणी थे).
लिंक्डइन का सेट शुरू में $ 2,200 की बिक्री पर था जबकि ड्रॉपबॉक्स $ 1,200 से थोड़ा अधिक के लिए जा रहा है - दोनों इन डेटा सेटों का मूल्य कम हो जाता है क्योंकि वे वहाँ से बाहर हैं, जैसा कि एक बार उपयोगकर्ताओं के बल्क ने पासवर्ड बदल दिए हैं, डेटा सेट बहुत कम मूल्य के हैं.
पर अब क्यों? हैक के चार साल बाद? मेरे पास एक उत्तर मिला जो ट्रॉय हंट से आता है (वह इस पोस्ट में काफी कुछ उल्लेख करता है, और हर जगह बहुत अधिक) जो साइबर स्पेस के बारे में बहुत कुछ लिखता है। मैं बस बोली कि उसे क्या कहना है:
अनिवार्य रूप से एक उत्प्रेरक है, लेकिन यह कई अलग-अलग चीजें हो सकती हैं; हमलावर अंततः इसे मुद्रीकृत करने का निर्णय लेते हैं, वे खुद को लक्षित करते हैं और डेटा खो देते हैं या अंततः इसे किसी और मूल्य के लिए व्यापार करते हैं.
3. भाड़े और डेटा डंप हर किसी को स्वीकार करने की तुलना में अधिक बार होता है
इस ड्रॉपबॉक्स हैक के बारे में पढ़ते हुए, मैं इस डेटाबेस निर्देशिका में आया, Vigilante.pw एक साइट है जिसमें डेटा उल्लंघनों की जानकारी है। इस लेखन के बिंदु पर, पूर्ण डेटाबेस में 1470 से अधिक उल्लंघनों की जानकारी है 2 बिलियन समझौता खातों.
2013 में सबसे बड़ी माइस्पेस हैक है। उस हैक से अधिक प्रभावित हुई 350 मिलियन खाते.
उसी निर्देशिका में, ड्रॉपबॉक्स की 68 मिलियन प्रविष्टियां ज्ञात डेटा डंप के इतिहास में नौवीं सबसे बड़ी है, अब तक; लिंक्डइन का पांचवां सबसे बड़ा हालांकि अगर संख्या को 167 मिलियन के बजाय सही किया गया था, तो यह निर्देशिका में दूसरा सबसे बड़ा डेटा डंप बना देगा.
(ध्यान दें कि ड्रॉपबॉक्स और लिंक्डइन के लिए डेटा की तिथियां 2016 के बजाय 2012 के रूप में सूचीबद्ध हैं।)
हालांकि यह कुछ भी नहीं लायक है कि कुख्यात एशले मैडिसन हैक के साथ-साथ गेम-चेंजिंग रॉक यू हैक था नहीं निर्देशिका में शामिल। तो वास्तव में वहाँ क्या हो रहा है बड़ा है साइट पर आप जो देखते हैं, उससे ज्यादा.
hasibeenpwned.com भी एक अन्य स्रोत है जिसका उपयोग आप देखने के लिए कर सकते हैं हैक और डेटा डंप की गंभीरता है जो ऑनलाइन सेवाओं और उपकरणों को कम कर रहे हैं.
यह साइट ट्रॉय हंट द्वारा संचालित है, जो एक सुरक्षा विशेषज्ञ है जो हाल ही में ड्रॉपबॉक्स हैक के बारे में डेटा उल्लंघनों और सुरक्षा मुद्दों के बारे में नियमित रूप से लिखता है। नोट: साइट भी एक नि: शुल्क अधिसूचना उपकरण के साथ आती है जो आपको सूचित करेगी यदि आपका कोई ईमेल समझौता किया गया है.
आप पंजे वाली साइटों की एक सूची प्राप्त करने में सक्षम होंगे, जिसका डेटा साइट पर समेकित किया गया है। यहाँ शीर्ष 10 उल्लंघनों की अपनी सूची दी गई है (बस उन सभी संख्याओं को देखें)। पूरी सूची यहां देखें.
अभी तक मेरे साथ है? यह बहुत बुरा हो जाता है.
4. हर डेटा ब्रीच के साथ, हैकर्स पासवर्ड क्रैक करने में बेहतर हो जाते हैं
इस पोस्ट पर आर्स टेक्नीका जेरी गोस्नी द्वारा, एक पेशेवर पासवर्ड क्रैकर पढ़ने लायक है। इसकी कमी यह है कि अधिक डेटा ब्रीच होते हैं, हैकर्स के लिए इसे क्रैक करना आसान होता है भविष्य पासवर्ड.
द रॉक यू हैक हैक 2009 में हुआ: प्लेनटेक्स्ट में 32 मिलियन पासवर्ड लीक हो गए थे और पासवर्ड क्रैकर्स को एक अंदर का दृश्य मिला कि उपयोगकर्ता कैसे पासवर्ड बनाते और उपयोग करते हैं.
यही वह हैक था, जिसने इसका सबूत दिखाया था हमने अपने पासवर्ड का चयन करने के लिए कितना कम सोचा उदाहरण के लिए:. 123456, मैं तुमसे प्यार करता हूँ, पारण शब्द. लेकिन अधिक महत्वपूर्ण बात है कि:
RockYou ब्रीच ने क्रैकिंग पासवर्ड क्रैक किया.
32 मिलियन अनशिक्षित, असुरक्षित, असुरक्षित पासवर्ड प्राप्त करना पेशेवर पासवर्ड पटाखे के लिए खेल में सबसे ऊपर है क्योंकि वे डेटा ब्रीच को अंजाम देने वाले नहीं थे, अब वे डेटा डंप होने पर पासवर्ड हैश को क्रैक करने के लिए पहले से कहीं अधिक तैयार हैं। RockYou से प्राप्त पासवर्डों ने वास्तविक उपयोगकर्ता द्वारा वास्तविक जीवन में उपयोग किए जाने वाले महत्वपूर्ण, तेज़ और अधिक प्रभावी योगदान के साथ अपनी शब्दकोश हमले की सूची को हैक कर लिया।.
इसके बाद डेटा उल्लंघनों आ जाएगा: गावकर, एहर्मोनी, स्ट्रैटेफ़ोर, जैपोस, एवरनोट, लिविंगसोशल - साथ कुछ हार्डवेयर अपग्रेड, यह लेखक के लिए संभव था (कुछ उद्योग-प्रासंगिक टीमों के साथ टीम बनाने के बाद) 173.7 मिलियन लिंक्डइन पासवर्ड एक मात्र में 6 दिन (जो 98% पूर्ण डेटा सेट)। सुरक्षा के लिए इतना, हुह?
5. पासवर्ड हैक करना - क्या वे मदद करते हैं?
एक साइट के लिए एक प्रवृत्ति है जिसने शब्दों को लाने के लिए डेटा उल्लंघन का अनुभव किया है हैशेड पासवर्ड, नमकीन पासवर्ड, हैश एल्गोरिदम और अन्य समान शब्द, जैसे कि आपको बताना है कि आपके पासवर्ड हैं को गोपित, और आपका खाता सुरक्षित है (ओफ़्फ़)। कुंआ…
अगर आप समझना चाहते हैं कि क्या hashing तथा रेह यह है कि वे कैसे काम करते हैं और वे कैसे टूट जाते हैं, यह एक अच्छा लेख है.
अवधारणाओं को सरल बनाने के जोखिम में, यहाँ जाता है:
- हैश एल्गोरिदम इसे बचाने के लिए एक पासवर्ड बदलता है। एक एल्गोरिथ्म पासवर्ड को अस्पष्ट करता है ताकि यह आसानी से किसी तीसरे पक्ष द्वारा पहचानने योग्य न हो। हालाँकि हैश को शब्दकोश के हमलों (जो बिंदु 6 में आता है) और जानवर बल के हमलों के साथ फटा जा सकता है.
- नमकीन हैशेड से पहले पासवर्ड में एक यादृच्छिक स्ट्रिंग जोड़ता है। इस तरह, भले ही एक ही पासवर्ड को दो बार हैश किया गया हो, लेकिन परिणाम नमक के कारण अलग होगा.
ड्रॉपबॉक्स हैक पर वापस आ रहा है, आधे पासवर्ड SHA-1 हैश के अंतर्गत हैं (लवण शामिल नहीं है, जो उन्हें दरार करना असंभव बनाता है) जबकि अन्य आधा bcrypt हैश के तहत हैं.
यह मिश्रण SHA-1 से bcrypt में संक्रमण का संकेत देता है, जो अपने समय से पहले एक कदम था, क्योंकि SHA1 को 2017 तक चरणबद्ध तरीके से, SHA2 या SHA3 द्वारा प्रतिस्थापित किया जा रहा है.
उस ने कहा, यह समझना महत्वपूर्ण है कि "हैशिंग एक बीमा पॉलिसी है" जो केवल हैकर्स और पटाखे को धीमा कर देती है। भले ही ये अतिरिक्त सुरक्षा पासवर्ड को "डिकोड करना कठिन" बनाता है, इसका मतलब यह नहीं है कि वे दरार के लिए असंभव हैं.
सबसे अच्छा, हैशिंग और नमस्कार उपयोगकर्ता समय खरीदें, अपने खाते के अधिग्रहण को रोकने के लिए अपने पासवर्ड को बदलने के लिए पर्याप्त है.
6. हैक के बाद (डेटा उल्लंघनों)
(1) हैक्स ड्रॉपबॉक्स हैक की तरह अपेक्षाकृत सौम्य हो सकता है, या एशले मैडिसन डेटा उल्लंघन की तरह विनाशकारी परिणाम हो सकता है.
उत्तरार्द्ध में, वास्तविक घर के पते, क्रेडिट कार्ड लेनदेन और अपने उपयोगकर्ताओं के खोज इतिहास सहित 25GB डेटा लीक किए गए थे। वेबसाइट की प्रकृति के कारण, सार्वजनिक झटकों, ब्लैकमेल, जबरन वसूली, तलाक और यहां तक कि आत्महत्याओं के कई उदाहरण थे.
हैक ने नकली खातों के निर्माण और ग्राहकों को एक खाते के लिए साइन अप करने के लिए लुभाने के लिए चैटबॉट के उपयोग को भी उजागर किया.
(२) भाड़े का भी पासवर्ड चुनने में हमारी उदासीनता दिखाएं - जब तक कि कोई उल्लंघन नहीं हुआ है.
# 4 में रॉक यू ब्रीच की चर्चा करते हुए हमने इसे स्थापित किया है। यदि आपके पास वेब पर बहुत सारे महत्वपूर्ण डेटा तैर रहे हैं, तो यह एक अच्छा विचार है पासवर्ड प्रबंधन ऐप का उपयोग करें. तथा दो-चरण प्रमाणीकरण सक्षम करें. तथा कभी भी पासवर्ड का पुन: उपयोग न करें जो डेटा ब्रीच में रहा हो. और सुनिश्चित करें कि आपके साथ काम करने वाले अन्य लोग वही सुरक्षा उपाय अपनाएं.
यदि आप इसे एक कदम आगे ले जाना चाहते हैं, तो एक सूचना उपकरण के लिए साइन अप करें जो आपको सूचित करता है जब आपका ईमेल डेटा ब्रीच में शामिल होता है.
(3) हैक्स एक साइट दिखाते हैं उपयोगकर्ता पासवर्ड की सुरक्षा के प्रति उदासीनता और डेटा.
ड्रॉपबॉक्स बनाम लिंक्डइन के मामले में, आप ड्रॉपबॉक्स देख सकते हैं नुकसान को कम करने के लिए बेहतर, अधिक गणना किए गए उपाय इस तरह से एक डेटा उल्लंघन से.
ड्रॉपबॉक्स ने बेहतर हैशिंग और सैल्टिंग के तरीकों का इस्तेमाल किया, उपयोगकर्ताओं को ईमेल भेजे कि वे जल्द से जल्द अपना पासवर्ड बदलने के लिए कहें, दो-कारक प्रमाणीकरण और यूनिवर्सल 2 फैक्टर (यू 2 एफ) की पेशकश करें, जो सुरक्षा कुंजी का उपयोग करता है, और कर्मचारियों की नीति में बदलाव (ड्रॉपऑफ़ कर्मचारी) उनके पासवर्ड का प्रबंधन करने के लिए 1Password का उपयोग करें, कॉर्पोरेट खाते के पासवर्ड अब पुन: उपयोग नहीं किए जा सकते हैं, और सभी आंतरिक सिस्टम 2FA पर हैं).
लिंक्डइन ने जो किया, उसके टूटने के लिए, यह लेख शायद अधिक गहन और उपयुक्त पढ़ा गया है.
समेट रहा हु
फ्रैंक होने के लिए, ड्रॉपबॉक्स हैक का अध्ययन करने से यह सब सीखना एक आंख खोलने और भयानक अनुभव रहा है। हम, सामान्य आबादी, अद्वितीय और मजबूत पासवर्ड की आवश्यकता को कम समझे कई बार कहा गया है कि पासवर्ड को कभी भी साझा या दोहराएं नहीं, या उनमें शब्दकोश शब्दों का उपयोग न करें.
यदि आपका डेटा ड्रॉपबॉक्स हैक से प्रभावित था, तो अपनी व्यक्तिगत जानकारी को सुरक्षित करने के लिए आवश्यक सावधानी बरतें. अपने पासवर्ड में कुछ प्रयास करें या पासवर्ड मैनेजर प्राप्त करें. ओह, और अपने लैपटॉप कैमरा या वेब कैमरा पर टेप जब यह उपयोग में नहीं है। आप कभी भी बहुत सावधान नहीं हो सकते हैं.
(कवर फोटो GigaOm के माध्यम से)