उबेर को उसके मूल में भंग कर दिया गया था, कथित तौर पर एक 18 वर्षीय व्यक्ति द्वारा। यहाँ क्या जाना जाता है

स्मार्टफोन पर इस्तेमाल किया जा रहा Uber ऐप
बड़े आकार में / उबेर राइड-शेयरिंग ऐप मोबाइल फोन पर देखा जाता है।

उबर के कर्मचारियों ने गुरुवार को पाया कि कंपनी के स्लैक चैनल पर इस उपलब्धि की घोषणा करने वाले किसी व्यक्ति ने उनके आंतरिक नेटवर्क के बड़े हिस्से तक पहुंच बना ली है। न्यूज आउटलेट के अनुसार, घुसपैठिए, जिसने द न्यू यॉर्क टाइम्स और सुरक्षा शोधकर्ताओं को उल्लंघन का दस्तावेजीकरण करने वाले स्क्रीनशॉट भेजे, ने 18 साल का होने का दावा किया और यह असामान्य रूप से सामने आया कि यह कैसे हुआ और यह कितनी दूर तक पहुंचा, जो कि कहानी तोड़ दी.

स्वतंत्र शोधकर्ताओं को इसमें अधिक समय नहीं लगा, जिनमें शामिल हैं बिल डेमिरकापिकन्यूयॉर्क टाइम्स कवरेज की पुष्टि करने के लिए और यह निष्कर्ष निकालने के लिए कि घुसपैठिए ने व्हाट्सएप पर एक उबर कर्मचारी से संपर्क करके प्रारंभिक पहुंच प्राप्त की।

कर्मचारी के खाते का पासवर्ड सफलतापूर्वक प्राप्त करने के बाद, हैकर ने कर्मचारी को मल्टीफैक्टर प्रमाणीकरण के लिए एक पुश अधिसूचना को मंजूरी देने के लिए धोखा दिया। घुसपैठिए ने तब प्रशासनिक क्रेडेंशियल्स का खुलासा किया जिसने उबर के कुछ क्राउन-ज्वेल नेटवर्क संसाधनों तक पहुंच प्रदान की। उबेर ने अपने आंतरिक नेटवर्क के कुछ हिस्सों को बंद करके जवाब दिया, जबकि यह उल्लंघन की सीमा की जांच करता है।

यह अभी तक स्पष्ट नहीं है कि हैकर के पास किस डेटा तक पहुंच थी या हैकर ने कौन सी अन्य कार्रवाइयां कीं। उबेर अपने उपयोगकर्ताओं पर डेटा की एक चक्करदार सरणी संग्रहीत करता है, इसलिए यह संभव है कि निजी पते और करोड़ों लोगों की प्रति घंटा आने और जाने की पहुंच या पहुंच हो।

यहाँ अब तक ज्ञात है।

हैकर अंदर कैसे आया?

NYT के अनुसार, डेमिरकापी और अन्य शोधकर्ताओं के ऊपर से जुड़े ट्वीट थ्रेड, हैकर ने किसी तरह कर्मचारी के व्हाट्सएप नंबर की खोज के बाद एक उबर कर्मचारी को सामाजिक रूप से इंजीनियर किया। सीधे संदेशों में, घुसपैठिए ने कर्मचारी को एक नकली उबेर साइट पर लॉग इन करने का निर्देश दिया, जिसने वास्तविक समय में दर्ज किए गए क्रेडेंशियल्स को जल्दी से पकड़ लिया और वास्तविक उबेर साइट पर लॉग इन करने के लिए उनका उपयोग किया।

उबर के पास एक ऐप के रूप में मल्टीफैक्टर ऑथेंटिकेशन के लिए छोटा एमएफए था, जो कर्मचारी को लॉग इन करते समय स्मार्टफोन पर एक बटन पुश करने के लिए प्रेरित करता है। इस सुरक्षा को बायपास करने के लिए, हैकर बार-बार वास्तविक साइट में क्रेडेंशियल दर्ज करता है। कर्मचारी, जाहिरा तौर पर भ्रमित या थका हुआ, अंततः बटन दबा दिया। इसी के साथ हमलावर अंदर था।

चारों ओर घूमने के बाद, हमलावर ने पॉवरशेल स्क्रिप्ट की खोज की जिसे एक व्यवस्थापक ने संग्रहीत किया था जो विभिन्न संवेदनशील नेटवर्क एन्क्लेव में लॉग इन करने की प्रक्रिया को स्वचालित करता था। लिपियों में आवश्यक क्रेडेंशियल शामिल थे।

teapot chat01

आगे क्या हुआ?

कथित तौर पर हमलावर ने उबर स्लैक चैनलों पर कंपनी-व्यापी संदेश भेजे, इस उपलब्धि की घोषणा की।

“मैं घोषणा करता हूं कि मैं एक हैकर हूं और उबर को डेटा उल्लंघन का सामना करना पड़ा है,” एक संदेश पढ़ा गया, NYT के अनुसार। स्क्रीनशॉट ने इस बात का सबूत दिया कि उस व्यक्ति की संपत्ति तक पहुंच थी, जिसमें उबर की अमेज़ॅन वेब सर्विसेज और जी सूट खाते और कोड रिपॉजिटरी शामिल हैं।

यह स्पष्ट नहीं है कि हैकर के पास कौन से अन्य डेटा तक पहुंच थी और क्या हैकर ने इसे कॉपी किया या दुनिया के साथ बड़े पैमाने पर साझा किया। उबर ने शुक्रवार को अपने प्रकटीकरण पृष्ठ को अपडेट करते हुए कहा: “हमारे पास इस बात का कोई सबूत नहीं है कि घटना में संवेदनशील उपयोगकर्ता डेटा (जैसे यात्रा इतिहास) तक पहुंच शामिल है।”

हम हैकर के बारे में क्या जानते हैं?

बहुत ज्यादा नहीं। वह व्यक्ति 18 साल का होने का दावा करता है और उबर स्लैक चैनलों पर शिकायत करने के लिए ले गया कि उबर ड्राइवरों को कम भुगतान किया जाता है। यह, और तथ्य यह है कि घुसपैठिए ने उल्लंघन को छिपाने के लिए कोई कदम नहीं उठाया, यह सुझाव देता है कि उल्लंघन संभवतः रैंसमवेयर, जबरन वसूली या जासूसी से वित्तीय लाभ से प्रेरित नहीं है। व्यक्ति की पहचान अब तक अज्ञात बनी हुई है।

उबर अब क्या कर रही है?

कंपनी उल्लंघन को स्वीकार किया और जांच कर रहा है।

एक 18 साल के किया वास्तव में दुनिया की सबसे संवेदनशील कंपनियों में से एक के क्राउन ज्वेल्स तक पहुंचें? यह कैसे हो सकता है?

यह निश्चित रूप से कहना जल्दबाजी होगी, लेकिन परिदृश्य प्रशंसनीय लगता है, यहां तक ​​​​कि संभावना भी है। फ़िशिंग हमले नेटवर्क घुसपैठ के सबसे प्रभावी रूपों में से एक हैं। जब अतिचार करने के बहुत आसान तरीके हैं तो महंगे और जटिल शून्य-दिन के कारनामों से परेशान क्यों हैं?

क्या अधिक है, पिछले कुछ महीनों में फ़िशिंग हमले तेजी से परिष्कृत हुए हैं। गवाह यह हमला जिसने हाल ही में ट्विलियो का उल्लंघन किया है और कई और कंपनियों को लक्षित किया है। फ़िशिंग पृष्ठ स्वचालित रूप से संदेश सेवा टेलीग्राम पर हमलावरों को दर्ज किए गए उपयोगकर्ता नाम और पासवर्ड रिले कर देता है, और हमलावर उन्हें वास्तविक साइट में दर्ज कर देता है। जब कोई उपयोगकर्ता एक प्रमाणीकरणकर्ता ऐप द्वारा उत्पन्न वन-टाइम पासवर्ड दर्ज करता है, तो हमलावरों ने बस उसे भी दर्ज किया। यदि खाता डुओ सुरक्षा जैसे ऐप द्वारा सुरक्षित किया गया था, तो जैसे ही कर्मचारी ने अनुपालन किया, हमलावर पहुंच प्राप्त कर लेंगे।

क्या इसका मतलब यह है कि वन-टाइम पासवर्ड या पुश का उपयोग करने वाला एमएफए बेकार है?

इस प्रकार का एमएफए उपयोगकर्ताओं की सुरक्षा करेगा यदि उनके पासवर्ड को डेटाबेस उल्लंघन के माध्यम से समझौता किया गया है। लेकिन जैसा कि बार-बार प्रदर्शित किया गया है, वे फ़िशिंग हमलों को रोकने में बेहद अपर्याप्त हैं। अब तक, MFA के एकमात्र रूप जो फ़िशिंग-प्रतिरोधी हैं, वे हैं जो FIDO2 नामक उद्योग मानक का अनुपालन करते हैं। यह एमएफए स्वर्ण मानक बना हुआ है।

कई संगठनों और संस्कृतियों का मानना ​​है कि उनके सदस्य फ़िशिंग हमलों के लिए गिरने के लिए बहुत चतुर हैं। वे एमएफए के FIDO2 रूपों की तुलना में प्रमाणक ऐप्स की सुविधा पसंद करते हैं, जिसके लिए फोन या भौतिक कुंजी रखने की आवश्यकता होती है। इस प्रकार के उल्लंघन जीवन की एक सच्चाई बने रहेंगे जब तक कि यह मानसिकता नहीं बदल जाती।

उल्लंघन पर अब तक क्या प्रतिक्रिया है?

उबेर के शेयर की कीमत शुक्रवार को लगभग 4 प्रतिशत नीचे थी, एक व्यापक बिकवाली के बीच जिसने कई कंपनियों के शेयर की कीमतें और भी कम कर दीं। डॉव जोन्स इंडस्ट्रियल एवरेज 1 फीसदी गिरा। एसएंडपी 500 और नैस्डैक कंपोजिट क्रमश: 1.2 फीसदी और 1.6 फीसदी गिरे। यह स्पष्ट नहीं है कि उबेर के शेयरों में क्या गिरावट आई है और इसका क्या प्रभाव है, यदि कोई हो, तो उल्लंघन में गिरावट आई है।

amar-bangla-patrika