نقد رقم میں چوری شدہ ڈیٹا کے پہاڑوں کا رخ کرنے کا ڈارک آرٹ

 ہمارے پاس نئے سال میں صرف دو ماہ ہیں اور پہلے ہی سیکڑوں لاکھوں ذاتی ریکارڈوں سے سمجھوتہ ہوچکا ہے ، بشمول کھیلوں کے خوردہ فروش ڈیکاتھلون کے 123 ملین ملازم اور کسٹمر ریکارڈ اور ایم جی ایم ریسارٹس کے ہوٹلوں کے سابقہ ​​مہمانوں کے 10.6 ملین ریکارڈ بھی شامل ہیں۔

ان اعلانات کے بعد ایندھن اور سہولت چین واو کے انکشاف کے بعد کہ وہ ملک بھر میں 850 مقامات پر نو ماہ کی ادائیگی کارڈ سسٹم کی خلاف ورزی کا شکار ہے۔

اس کے علاوہ ، مائیکرو سافٹ نے اس ماہ کے شروع میں کہا تھا کہ 14 سالوں پر محیط ایک اعداد و شمار کی خلاف ورزی نے اپنے صارف کے 250 ملین ریکارڈ کو بے نقاب کردیا۔

ڈیٹا کی خلاف ورزی اتنی عام ہوگئی ہے کہ ماہرین اس بات پر متفق ہیں کہ یہ معاملہ نہیں ہے ، بلکہ اس کے بجائے جب کوئی کمپنی اس کا شکار ہوجائے گی۔ لہذا بحالی کے منصوبے میں اس بات پر توجہ دی جانی چاہئے کہ ملازم / کسٹمر / مؤکل کے اعداد و شمار کی خلاف ورزی سے نمٹنے کے لئے کس طرح دستبرداری کی جائے ، تاوان کا سامان کس طرح استعمال کیا جائے ، اور یہ یقینی بنانے کے ل what کیا کیا جائے کہ اضافی ہیکر دوبارہ وہی استعمال نہ کریں۔ .

واوا کی خلاف ورزی کے معاملے میں ، ہیکروں نے دھوکہ دہی کے بازار جوکرز اسٹایش جیسی تاریک ویب سائٹوں پر یہ دعویٰ کیا ہے کہ ان کے پاس فروخت کے 30 ملین ریکارڈ ہیں۔ چاہے یہ سچ تھا یا نہیں اس امکان کو اجاگر کرتا ہے کہ ہیکرز سنبھالنے سے کہیں زیادہ بے نقاب ڈیٹا ہوسکتا ہے۔

بگ ڈیٹا فاصلہ

عام طور پر چوری کرنے والا ڈیٹا مختلف ہوسکتا ہے ، لیکن ایم جی ایم کی صورت میں اس خلاف ورزی میں پورے نام ، گھر کے پتے ، فون نمبر ، ای میل اور یہاں تک کہ تاریخ پیدائش بھی شامل ہیں۔ ڈیکاتھلون کی خلاف ورزی کے لئے معلومات میں غیر خفیہ پاس ورڈ ، ملازمت کے معاہدے کی معلومات ، سوشل سیکیورٹی نمبر اور کام کے اوقات شامل تھے۔

تاہم ، ایم جی ایم کی خلاف ورزی میں کریڈٹ کارڈ کا ڈیٹا شامل نہیں تھا۔

سانٹا فی گروپ کے سینئر مشیر گیری روبوف نے کہا ، "یہ سمجھنا اہم ہے کہ ادائیگی کے اعداد و شمار اس خاص واقعے میں شامل نہیں تھے ۔"

تاہم ، "اس ہوٹل کے ڈیٹا لیک کے اثرات کچھ توقعات سے کہیں زیادہ کپٹی ہوسکتے ہیں ،" مائک اردن ، کو رسک مینجمنٹ فرم شیئرڈ اسسمنٹ کی تحقیق کے نائب صدر نے متنبہ کیا ۔

ایک ہوٹل کی آخری بڑی خلاف ورزی 2018 میں ہوئی تھی جب میریٹ سے سمجھوتہ کیا گیا تھا ، لیکن یہ واقعی منافع سے چلنے والی خلاف ورزی نہیں تھی۔

اردن نے ٹیک نیوز ورلڈ کو بتایا ، "اس کا الزام چین کے زیر کفالت مبینہ حملہ آوروں کو انٹیلی جنس کے مقاصد اور شاید بالآخر زبردستی کے الزامات کے لئے کیا گیا تھا۔"

ریاستی اداکار

خلاف ورزیوں کی سراسر تعداد میں اہم کردار ادا کرنے والا ایک اور عنصر یہ ہے کہ وہ ہمیشہ سائبر کرائمینلز کے ذریعہ نہیں کئے جاتے ہیں ، جیسا کہ میریٹ کی مثال میں ہے۔

"انٹلیجنس تنظیموں کے ذریعہ اسٹیٹ کرافٹ اکثر بنیادی معلومات پر انحصار کرتا ہے جیسے لوگوں کو کیسے اور کہاں تلاش کیا جائے ،" اردن نے وضاحت کی۔

انہوں نے مزید کہا ، "یہ معلومات بڑے پیمانے پر حاصل کرنا یا موجودہ اعداد و شمار کی تصدیق کے لئے اس کا استعمال مؤثر انٹیلی جنس پروگرام بنانے کے لئے ایک اہم جز ہے۔"

اردن نے متنبہ کیا ، "ان معلومات کے لئے یہ معلومات ان مقاصد کے ل quite کافی کارآمد ثابت ہوں گے ، کیونکہ اس فہرست میں کچھ خاص طور پر دولت مند سرپرست ہیں۔"

چونکہ ایم جی ایم کی معلومات کو عوامی فورم پر شائع کیا گیا تھا ، اس لئے یہ بہت امکان نہیں ہے کہ قصوروار وہی تھے جیسے میریٹ کی خلاف ورزی کے ذمہ دار تھے۔

"تاہم ، یہ معلومات بدنیتی پر مبنی جماعتوں کے لئے بھی اتنی ہی کارآمد ثابت ہوسکتی ہیں ، اور ان میں سے زیادہ تر کو اب اس تک رسائی حاصل ہے۔"

طلب اور رسد

ان خلاف ورزیوں کے نتیجے میں ، ایسا لگتا ہے کہ ڈارک ویب پر بہت زیادہ اعداد و شمار کی فروخت کی پیش کش کی جارہی ہے - تقریبا اس بات پر کہ سائبرکرکس کو سنبھالنے کے لئے بڑا اعداد و شمار بہت زیادہ بڑھ رہے ہیں۔

سیکینس سیکیورٹی کے پروڈکٹ مارکیٹنگ کے ڈائریکٹر میٹ کیل نے کہا ، "صرف اور صرف فراہمی اور طلب کے قانون پر مبنی ، ایک ریکارڈ کی لاگت میں نمایاں کمی واقع ہوئی ہے ۔

" میری لینڈ یونیورسٹی میں کمپیوٹر سائنس کے ایسوسی ایٹ پروفیسر جم پورٹیلو نے متنبہ کیا ،" اب بھی بہت بڑی خلاف ورزیوں کا باقاعدگی سے انکشاف کیا جارہا ہے ۔

"یاد رکھیں کہ صرف اس وجہ سے کہ آپ کے ڈیٹا کو ایک بار بے نقاب کردیا جاتا ہے اس کا مطلب ہر شرپسند کے پاس نہیں ہوتا ہے۔ مزید خلاف ورزیوں سے آپ کے ڈیٹا کو زیادہ ہاتھوں میں رکھتے ہیں ، مطلب یہ ہے کہ کسی مجرمانہ ذہن کے ساتھ اس کے ساتھ کچھ کرنے کے بہت سارے مواقع موجود ہیں۔" .

مسئلہ ڈیٹا موجود ہے کیا ہے، جیمز McQuiggan میں سیکورٹی بیداری ایڈووکیٹ نے کہا KnowBe4 .

انہوں نے ٹیک نیوز ورلڈ کو بتایا ، "لوگوں کو اس بات پر غور کرنے کی ضرورت ہے کہ ان کی معلومات وہاں موجود ہیں ، جیسے سوشل سیکیورٹی نمبر ، نام ، ای میل اور پاس ورڈ اور پتے۔"

میککیوگگن نے مزید کہا ، "لوگوں کے لئے یہ ضروری ہے کہ وہ اپنے کریڈٹ اور اکاؤنٹس کی نگرانی کریں ، نیز انہیں موصول ہونے والے ای میلز کے بارے میں چوکس رہیں۔" "اگرچہ وہ اپنے سبھی ای میلز کو نظرانداز نہیں کرسکتے ہیں ، انہیں تصدیق کرنے کی ضرورت ہے کہ اگر کوئی چیز صحیح یا مشکوک ہونے کے ل. بہت اچھی ہے۔"

جب چوری شدہ ڈیٹا کو استعمال کرنے کے منافع بخش طریقے تلاش کرنے کی بات آتی ہے تو سائبر کرائمینلز انتہائی اختراعی ہوتے ہیں۔

کیل نے ٹیک نیوز ورلڈ کو بتایا ، "حوصلہ افزائی کرنے والے برے اداکار کے ہاتھوں میں ، یہ ڈیٹا خود ایم جی ایم کے خلاف اکائونٹ ٹیکور اٹیک میں استعمال کیا جاسکتا ہے اور - دوسرے ریزورٹس کے خلاف - پاس ورڈز کو دوبارہ استعمال کرنے کی بہاؤ پر مبنی ہے۔"

انہوں نے مزید کہا ، "اگر کامیابی ملی تو قیمت پھر خاصی زیادہ ہوجائے گی کیونکہ برا اداکار پھر انعامات پوائنٹس چوری کرنے یا استعمال کرنے میں کامیاب ہوجائے گا۔" "نتیجے میں دھوکہ دہی ایم جی ایم کے لئے ایک اضافی خرچ ہے ، اور طویل مدتی ، ان کے صارفین پر منفی اثر ڈالتی ہے۔ اعدادوشمار سے پتہ چلتا ہے کہ جب ان کی ذاتی معلومات چوری ہوجاتی ہیں تو صارفین مختلف وینڈر استعمال کرنے کا امکان زیادہ رکھتے ہیں۔"

بدی لاٹری

ایکویفیکس ، حکومت کے آفس آف پرسنل مینیجمنٹ اینڈ ٹارگٹ کی خلاف ورزیوں کے بعد ، اور ساتھ ہی ساتھ ان گنت دیگر سائبرٹیکس کے بھی خلاف ورزیوں کے بعد ، یہ بہت امکان ہے کہ حالیہ برسوں میں زیادہ تر امریکیوں کے پاس کچھ ذاتی اعداد و شمار سامنے آئے ہیں۔ اچھی خبر یہ ہے کہ بہت سے معاملات میں اتنا ڈیٹا ہوتا ہے کہ اس میں سے زیادہ تر برے لوگ استعمال نہیں کریں گے۔

اس کا مطلب یہ نہیں ہے کہ ہمیں پریشان نہیں ہونا چاہئے۔

کیل نے مشورہ دیا کہ "ہم ڈیٹا کی خلاف ورزیوں کی مستقل مزاجی سے محفوظ ہوگئے ہیں۔ "اب ہم اس غم و غصے اور ردعمل کو نہیں دیکھ رہے ہیں جو اس کے پیچھے - عرف نشانے کی خلاف ورزیوں کے ساتھ ہوا ہے۔"

ابھی یہ سوال نہیں ہے کہ آیا اور واقعی یہ بھی کب کا ہے ، لیکن زیادہ امکان ہے کہ ہمارے ڈیٹا کو کتنی بار بے نقاب کیا جاسکتا ہے۔ ہم سب "بری لاٹری" میں شریک ہوسکتے ہیں۔ ایک جیک پاٹ جیتنے کے بجائے ، ہم اس ناخوشگواری کو ختم کر رہے ہیں جو ہمارے اعداد و شمار کے ساتھ آتا ہے جو دراصل خراب لوگ استعمال کرتے ہیں۔

مشترکہ تشخیص اردن نے کہا ، یہ بدقسمتی سے سچ ہے۔

انہوں نے وضاحت کرتے ہوئے کہا ، "ہمارا ڈیٹا اس وقت قانونی اور غیر قانونی ذرائع استعمال کرنے والے افراد کو نشانہ بنانے کے لئے اہم ہے۔ اعداد و شمار ایک تانبے یا سویا بین جیسے خام مال کی چیز ہے جس کو بہتر بنانے کی ضرورت ہے۔"

اردن نے نوٹ کیا ، "وقت گزرنے کے ساتھ ہماری معلومات میں بدلاؤ کی وجہ سے ، اعداد و شمار میں شیلف زندگی ہے۔" لہذا ان کے ڈیٹا کو قیمتی رکھنے کے لئے نئی خلاف ورزیوں کی ضرورت ہے۔ "

خلاف ورزی اور دہرائیں

سیکیورٹی کی بہت ساری خلاف ورزی ہوتی ہے کیونکہ انھیں آسانی سے دور کرنا ہوتا ہے۔ تمام اکثر کمپنیاں ڈیٹا چوری کو کاروبار کرنے کی ایک اضافی قیمت کے طور پر دیکھتی ہیں۔ یہاں تک کہ بظاہر "عوامی" معلومات کی بھی قیمت ہوسکتی ہے۔

"میرا ارادہ نہیں ہے کہ یہ کیسے کروں اس کے لئے سڑک کا نقشہ کھینچوں ، لیکن صرف ایک پتہ اور ڈی او بی کو بے نقاب کرنا کافی پریشانی کا باعث ہوسکتا ہے۔"

انہوں نے کہا ، "جو شخص کسی سائٹ کو توڑ پھوڑ میں مبتلا کرتا ہے اور کسی سائٹ پر قبضہ کرلیتا ہے وہ اسے ہر چھوٹی چھوٹی رقم کے حساب سے خرید سکتا ہے اور آگے بڑھ سکتا ہے - یہ کوئی مفت پیسہ نہیں ہے ، بلکہ اس کے قریب ہے۔"

سخت اثر اس وقت ہوتا ہے جب صبر کے ساتھ کسی کے ہاتھ میں ڈیٹا اکٹھا کیا جاتا ہے۔

"کسی کا نام اور ڈی او بی کسی کے نام پر ہر طرح کے بے گناہ اکاؤنٹس کھولنے کے ل sufficient کافی ہے ، جو ہیکر" بہانہ بنا "جاتا ہے یا کسی افادیت کمپنی ، مالی کمپنی کو راضی کرنے کے مقاصد کے لئے اس شخص کا بہانہ کرتا ہے تو اس کے لئے ساکھ کا ایک پتلا پس منظر پیدا کرتا ہے۔ "شناخت فراہم کرنے والے چور کے لئے اکاؤنٹ دوبارہ ترتیب دینے کے ل to میڈیکل فراہم کنندہ ،" پورٹیلو نے وضاحت کی۔

نتیجہ یہ نکلا ہے کہ بہت ہی مختصر آرڈر میں ایک جائز ڈیٹا مالک خود کو خدمات سے بند کر دے گا جب کہ ہیکر اسے صاف کرتا ہے۔

پورٹیلو نے کہا ، "جس حد سے زیادہ اعداد و شمار کی خلاف ورزی ہوئی اس میں کم کہانی تیار کی جانی چاہئے تاکہ فرموں کو اپنا سامان دور کرنے پر راضی کیا جاسکے ، لیکن صبر کے ساتھ مل جانے پر تھوڑا سا ڈیٹا بھی لیا جاسکتا ہے۔"

سائبر جرائم پیشہ افراد کے لئے بھی اسے دور کرنا کوئی چھوٹا کام نہیں ہے۔ فلموں اور ٹی وی شوز کے برعکس ، یہ فوری طور پر اعداد و شمار کو بٹ کوائن میں تبدیل کرنے کی بات نہیں ہے - حکام کو آگاہ کیے بغیر اعداد و شمار کو کچھ اہم بنانے میں حقیقی کوشش کرنی پڑتی ہے۔

پورٹیلو نے کہا ، "یہ جاننا کہ کس طرح شناختی دستاویزات کی درستگی کو جانچنا ہے لیکن بغیر کسی کریڈٹ رپورٹنگ فرم میں انتباہی حرکت کا عمل ایک حقیقی فن بن جاتا ہے۔" "کسی شناختی چور کسی مالی کمپنی میں زیادہ اعلی درجے کی خلاف ورزی کرنے سے پہلے کسی کے ڈیجیٹل پروفائل کے دائرہ کار میں کام کرسکتا ہے۔"

خلاف ورزیوں سے پرے

اس کے علاوہ اور بھی اہم سائبر تھریٹ ہیں جن کے رکنے کا امکان نہیں ہے ، لہذا بدقسمتی سے بازیابی عمل کا اگلا بہترین عمل بن گیا ہے۔

"نین بی 4 میں سیکیورٹی بیداری کے وکیل ایریک کرون نے کہا ،" تاوان سازی کے حملوں میں اتنی رقم کمائی جارہی ہے کہ حملہ آور تخلیقی طور پر تنظیموں پر حملہ کرنے کے نئے طریقوں کی تیاری اور جانچ کر سکتے ہیں۔ "

"فشینگ حملوں کے اخراجات - ڈارک ویب آپریٹرز کی طرف سے 50،000 فشنگ ای میلز بھیجنے کے لئے تقریبا 65 امریکی ڈالر $ - اتنا کم ہے ، پکڑے جانے کا اتنا کم خطرہ ہے ، اور اس کی اتنی زیادہ ادائیگی ہوتی ہے ، کہ اس کے لئے یہ تقریبا ناممکن ہے۔ انہوں نے ٹیک نیوز ورلڈ کو بتایا ، سائبر کرائمینلز کا مقابلہ کرنے کے لئے۔

کرون نے مزید کہا کہ ان حملوں نے کئی دہائیوں سے اپنے آپ کو ثابت کیا ہے اور انسانی سلوک میں ہیرا پھیری کی صلاحیت میں مہارت حاصل کی ہے۔

انہوں نے مشورہ کیا کہ "ان حملوں سے بچنے کی کلید لوگوں کو تربیت دینا ہے کہ وہ ان کو کیسے دیکھیں اور تنظیم میں ان کی اطلاع کیسے دیں۔" "انہیں بھی حساس اعداد و شمار یا غیر معمولی ٹریفک نمونوں کی تلاش میں ، نیٹ ورک کے اندر اور باہر ٹریفک کی نگرانی کرنے کی ضرورت ہے۔ اس کے علاوہ ، باقی ڈیٹا کو جہاں بھی ممکن ہو حساس خاکہ کو کم کرنے کے لئے انکرپٹ کیا جانا چاہئے ، چاہے وہ ہو exfiltrated. "

ٹیکنیکل فائٹنگ بیک

خوش قسمتی سے اب بالکل آسان ، ابھی تک موثر ، طریقے ہیکروں کے لئے کم قیمت میں سے کچھ کو بنانے میں مدد کرنے کے طریقے ہیں ، اگر وہ بالکل بیکار نہ ہوں۔ دو عنصر کی توثیق بہت سے بے نقاب شدہ پاس ورڈز کو بیکار دے سکتی ہے ، جبکہ ادائیگی کے حل میں سیکیورٹی کی خصوصیات شامل کی جارہی ہیں۔

سانٹا فی گروپ کے روبوف نے ٹیک نیوز ورلڈ کو بتایا ، "چونکہ آخر کار اس ملک میں چپ کارڈز متعارف کرائے گئے تھے ، لہذا ہم نے استعمال شدہ کریڈٹ اور ڈیبٹ کارڈ کی معلومات میں جسمانی طور پر فروخت کی جانے والی معلومات میں تیزی سے کمی دیکھی ہے۔"

انہوں نے مزید کہا ، "ای ایم وی کے مطابق کارڈوں کے ذریعہ تیار کردہ متحرک ادائیگیوں کے اعداد و شمار اور آن لائن ادائیگی کے ٹوکن کا استعمال - اور ایپل اور اینڈرائڈ آلات پر ٹوکن پر مبنی ادائیگی کرنے والے صارفین کی توثیق کرنے کے لئے بائیو میٹرکس - نے ادائیگیوں میں دھوکہ دہی کو کم کرنے میں مدد فراہم کی ہے۔"

تاہم ، بہترین حل افراد کی طرف سے بہتر طریقہ کار ہوسکتا ہے۔

سیکینس سیکیورٹی کے کیل نے مزید کہا ، "صارفین کو ان کے پاس ورڈ حفظان صحت پر زیادہ توجہ دینے کے لئے زیادہ سے زیادہ کنٹرول لینے کی ضرورت ہے۔ تمام استعمال کے ل a پاس ورڈ مینیجر کو استعمال کرنے کی طرف بڑھیں ، نہ صرف اہم۔" "