कमजोर डेटाबेस के कारण उजागर हुए 82M के बीच संपूर्ण खाद्य ग्राहक रिकॉर्ड

जुलाई की शुरुआत में, सुरक्षा शोधकर्ता जेरेमिया फाउलर, के साथ साझेदारी में कूलटेकजोन अनुसंधान दल ने एक गैर-पासवर्ड-संरक्षित डेटाबेस की खोज की जिसमें 82 मिलियन से अधिक रिकॉर्ड थे।

रिकॉर्ड में ऐसी जानकारी थी जो कई कंपनियों को संदर्भित करती थी, जिसमें होल फूड्स मार्केट (अमेज़ॅन के स्वामित्व में) और स्कैग्स पब्लिक सेफ्टी यूनिफ़ॉर्म, एक कंपनी है जो पूरे संयुक्त राज्य में पुलिस, आग और चिकित्सा ग्राहकों के लिए वर्दी बेचती है।

लॉगिंग रिकॉर्ड ने कई ग्राहक ऑर्डर रिकॉर्ड, नाम, भौतिक पते, ईमेल, आंशिक क्रेडिट कार्ड नंबर और बहुत कुछ उजागर किया। इन अभिलेखों को “उत्पादन” के रूप में चिह्नित किया गया था।

कुल मिलाकर लीक हुए डेटा का साइज लगभग 9.57GB है। पहली बार (25 अप्रैल और 11 जुलाई के बीच) रिकॉर्ड की कुल संख्या 28,035,225 थी। नोटिस भेजे जाने के बाद (25 अप्रैल से 30 जुलाई के बीच) रिकॉर्ड की कुल संख्या बढ़कर 82,099,847 हो गई।

लॉगिंग रिकॉर्ड हमें क्या बताते हैं?

लाखों लॉगिंग रिकॉर्ड थे जिनमें कोई विशिष्ट आदेश नहीं था, इसलिए यह पूरी तरह से समझना मुश्किल है कि कितने व्यक्ति प्रभावित हुए थे।

होल फूड्स के रिकॉर्ड ने उनकी खरीद प्रणाली की आंतरिक उपयोगकर्ता आईडी, आईपी पते, और एक गतिविधि निगरानी प्रणाली से प्राधिकरण लॉग या सफल लॉगिन रिकॉर्ड की पहचान की।

अन्य लॉग्स में स्मिथ सिस्टम, एक स्कूल फ़र्नीचर निर्माता और ऑइलफ़ील्ड सेवा उद्योग में एक ट्रकिंग लीडर चाक माउंटेन सर्विसेज के संदर्भ थे।

अधिकांश भुगतान और क्रेडिट रिकॉर्ड स्कैग्स पब्लिक सेफ्टी यूनिफ़ॉर्म से जुड़े हुए प्रतीत होते हैं। वे कई स्थानों पर काम करते हैं और कोलोराडो, यूटा और एरिज़ोना में उनके कार्यालय हैं। कूलटेकज़ोन ने “पुलिस” और “फायर” जैसे शब्दों के लिए कई प्रश्न पूछे और कई एजेंसियों के साथ-साथ उनके आदेश, नोट्स और अनुकूलन अनुरोध भी देख सकते थे।

लॉगिंग एक नेटवर्क के बारे में महत्वपूर्ण सुरक्षा जानकारी की पहचान कर सकती है। निगरानी और लॉगिंग के बारे में सबसे महत्वपूर्ण बात यह समझना है कि वे अनजाने में प्रक्रिया में संवेदनशील जानकारी या रिकॉर्ड को उजागर कर सकते हैं।

नियमित रूप से लॉग की समीक्षा करना एक महत्वपूर्ण सुरक्षा कदम है जिसे अनदेखा नहीं किया जाना चाहिए, लेकिन अक्सर होता है। ये समीक्षाएं आपके सिस्टम पर दुर्भावनापूर्ण हमलों या अनधिकृत पहुंच की पहचान करने में मदद कर सकती हैं।

दुर्भाग्य से, भारी मात्रा में होने के कारण लॉग डेटा सिस्टम द्वारा उत्पन्न, इन लॉग की मैन्युअल रूप से समीक्षा करना अक्सर तर्कसंगत नहीं होता है, और उन्हें अनदेखा कर दिया जाता है। यह सुनिश्चित करना महत्वपूर्ण है कि रिकॉर्ड आवश्यकता से अधिक समय तक नहीं रखे जाते हैं, संवेदनशील डेटा को सादे पाठ में संग्रहीत नहीं किया जाता है, और सार्वजनिक पहुंच किसी भी भंडारण भंडार तक सीमित है।

यह यूजर्स के लिए कैसे खतरनाक है?

NS ग्राहकों के लिए वास्तविक जोखिम यह है कि अपराधियों के पास अंदरूनी जानकारी होगी जिसका उपयोग उनके पीड़ितों को सामाजिक रूप से इंजीनियर करने के लिए किया जा सकता है।

उदाहरण के तौर पर, कॉल या ईमेल करने और कहने के लिए पर्याप्त जानकारी होगी, “मैंने देखा कि आपने हाल ही में हमारा उत्पाद खरीदा है, और मुझे 123 में समाप्त होने वाले कार्ड के लिए आपकी भुगतान जानकारी सत्यापित करने की आवश्यकता है।” पहले से न सोचा ग्राहक के पास सत्यापन पर संदेह करने का कोई कारण नहीं होगा क्योंकि अपराधी के पास पहले से ही विश्वास और विश्वसनीयता स्थापित करने के लिए पर्याप्त जानकारी होगी।

या, “मैन इन द मिडल” दृष्टिकोण का उपयोग करते हुए, अपराधी भागीदारों या ग्राहकों को विभिन्न भुगतान जानकारी के साथ चालान प्रदान कर सकता है ताकि धन अपराधी को भेजा जा सके न कि इच्छित कंपनी को।

आंतरिक रिकॉर्ड यह भी दिखा सकते हैं कि डेटा कहाँ संग्रहीत है, मिडलवेयर के किन संस्करणों का उपयोग किया जा रहा है, और नेटवर्क के कॉन्फ़िगरेशन के बारे में अन्य महत्वपूर्ण जानकारी।

यह पहचान सकता है महत्वपूर्ण कमजोरियां जो संभावित रूप से नेटवर्क में द्वितीयक पथ की अनुमति दे सकता है। मिडलवेयर को “सॉफ्टवेयर गोंद” माना जाता है और यह दो अनुप्रयोगों के बीच एक सेतु का काम करता है। मिडलवेयर अतिरिक्त सुरक्षा जोखिम भी पेश कर सकता है।

किसी भी तृतीय पक्ष एप्लिकेशन, सेवा या सॉफ़्टवेयर का उपयोग करने से एक ऐसा परिदृश्य बन जाता है जहां आपका डेटा आपके नियंत्रण से बाहर हो सकता है। जैसा कि आमतौर पर कहा जाता है, “डेटा नया तेल है”, और यह अत्यंत मूल्यवान है।

अक्सर, जब कोई डेटा एक्सपोजर होता है, तो यह मानवीय त्रुटि और गलत कॉन्फ़िगरेशन के कारण होता है, न कि दुर्भावनापूर्ण इरादे से। CoolTechZone किसी भी डेटा एक्सपोजर के सुरक्षित पक्ष में होने की स्थिति में सभी प्रशासनिक क्रेडेंशियल्स को बदलने की अत्यधिक अनुशंसा करेगा।

यह स्पष्ट नहीं है कि डेटाबेस कितने समय तक खुला रहा और सार्वजनिक रूप से सुलभ रिकॉर्ड तक कौन पहुंच सकता है। केवल एक संपूर्ण साइबर फोरेंसिक ऑडिट ही पहचान करेगा कि क्या डेटासेट अन्य व्यक्तियों द्वारा एक्सेस किया गया था या कौन सी गतिविधि आयोजित की गई थी।

यह भी स्पष्ट नहीं है कि ग्राहकों, ग्राहकों या अधिकारियों को संभावित जोखिम के बारे में सूचित किया गया था या नहीं।

यह कहानी मूल रूप से पर दिखाई दी Cooltechzone.com. कॉपीराइट 2021

वेंचरबीट

तकनीकी निर्णय लेने वालों के लिए परिवर्तनकारी तकनीक और लेनदेन के बारे में ज्ञान हासिल करने के लिए वेंचरबीट का मिशन एक डिजिटल टाउन स्क्वायर बनना है। जब आप अपने संगठनों का नेतृत्व करते हैं तो हमारा मार्गदर्शन करने के लिए हमारी साइट डेटा तकनीकों और रणनीतियों पर आवश्यक जानकारी प्रदान करती है। हम आपको हमारे समुदाय का सदस्य बनने के लिए आमंत्रित करते हैं:

  • आपकी रुचि के विषयों पर अप-टू-डेट जानकारी
  • हमारे समाचार पत्र
  • गेटेड विचार-नेता सामग्री और हमारे बेशकीमती आयोजनों के लिए रियायती पहुंच, जैसे रूपांतरण 2021: और अधिक जानें
  • नेटवर्किंग सुविधाएँ, और बहुत कुछ

सदस्य बने

(Visited 6 times, 1 visits today)

About The Author

You might be interested in

प्यू-अमेरिका-के-42-उपयोगकर्ता-मुख्य-रूप-से-मनोरंजन-के.jpg
0

LEAVE YOUR COMMENT