nameemailssnpw hashphoneaddrcardnamedob

डेटा उल्लंघन

11 मिनट पढ़ासुरक्षा

लगभग हर वयस्क डेटा उल्लंघन का शिकार रहा है। संभवतः अनेक. यांत्रिकी में परिष्कृत राज्य-स्तरीय घुसपैठ से लेकर इंटरनेट के लिए खुली छोड़ी गई सरल S3 बकेट तक शामिल हैं, लेकिन परिणाम समान हैं: आपका डेटा किसी और के हाथों में है। श्रेणियों को समझना आपको बताता है कि वास्तव में इसके बारे में क्या करना है।

संपूर्ण लेख का मुख्य भाग नीचे अंग्रेजी में दिया गया है।

A डेटा उल्लंघन ऐसी कोई भी घटना है जहां किसी संगठन द्वारा रखे गए व्यक्तिगत या गोपनीय डेटा को उन लोगों के सामने उजागर किया जाता है जिनके पास यह नहीं होना चाहिए था। डेटा नाम, ईमेल, पासवर्ड (हैशेड या प्लेनटेक्स्ट), भुगतान कार्ड, सामाजिक सुरक्षा नंबर, स्वास्थ्य रिकॉर्ड, ब्राउज़िंग इतिहास, स्थान डेटा - उपयोगकर्ताओं के बारे में संग्रहीत कुछ भी हो सकता है। संख्याएं चौंका देने वाली हैं: 2026 तक 14 बिलियन से अधिक व्यक्तिगत उल्लंघन किए गए रिकॉर्डों को हैवआईबीनपीडब्लूएन ने सूचीबद्ध किया है, और यह वास्तविक कुल का एक अंश है।

मुख्य उल्लंघन श्रेणियां कभी-कभी हैश मजबूत होते हैं (उच्च लागत के साथ बीक्रिप्ट), कभी-कभी आश्चर्यजनक रूप से कमजोर (एमडी5, अनसाल्टेड एसएचए-1)। यहां तक ​​कि मजबूत हैश भी इस तथ्य को लीक करते हैं कि आपके पास उस सेवा पर एक खाता है।
  • गलत कॉन्फ़िगर क्लाउड स्टोरेज। सुरक्षा शोधकर्ता नियमित रूप से इन्हें ढूंढते हैं और उनकी रिपोर्ट करते हैं; अपराधी उन्हें भी ढूंढ लेते हैं. किसी शोषण की आवश्यकता नहीं है - बस खुली पहुंच।
  • SQL इंजेक्शन और सीधे एप्लिकेशन हमले। दो दशक पहले की तुलना में अब यह कम आम है, लेकिन विलुप्त नहीं है। सोलरविंड्स, कोडकोव, कासिया इसके प्रसिद्ध उदाहरण हैं।
  • इनसाइडर खतरे। निर्यात.
  • Ransomware डबल-एक्सटॉर्शन. रैनसमवेयर ऑपरेटर एन्क्रिप्ट करने से पहले डेटा को बाहर निकाल देते हैं। यदि आप भुगतान नहीं करते हैं, तो भी डेटा ख़त्म हो जाता है; भले ही आप भुगतान करते हैं, आपको कोई गारंटी नहीं है कि डेटा नष्ट हो जाएगा।

    • उल्लंघन जीवनचक्र एस्केलेशन - हमलावर पार्श्व में चलता है, डेटा स्टोर तक पहुंच प्राप्त करता है प्रारंभ
  • Notification - प्रभावित उपयोगकर्ताओं को सूचित किया गया, नियामकों को सतर्क किया गया, सार्वजनिक प्रकटीकरण एक दशक पहले 200 दिन से लेकर आज 100 दिन से कम - अभी भी बहुत लंबा है, लेकिन एक सार्थक सुधार है।

    आप कैसे पता लगाते हैं

    सबसे विश्वसनीय चैनल: एक ईमेल दर्ज करें; देखें कि क्या यह ज्ञात उल्लंघनों में है। सक्रिय सूचनाओं के लिए सदस्यता लें. हमारा ब्रीच टेस्ट HIBP API का उपयोग करता है। अधिसूचना अक्सर उल्लंघन होने के महीनों बाद आती है। उल्लंघन।ol>

  • प्रभावित सेवा पर पासवर्ड बदलें। एक ताज़ा मजबूत अद्वितीय पासवर्ड का उपयोग करें। सार्वजनिक प्रकटीकरण के बाद के दिनों में। यदि भुगतान डेटा शामिल था तो
  • वित्तीय खातों की निगरानी करें। कई देश आपको बिना किसी लागत के अपनी क्रेडिट फ़ाइल को फ्रीज करने की सुविधा देते हैं। combolists में पिछले उल्लंघनों के साथ संयुक्त - सैकड़ों उल्लंघनों में ईमेल/पासवर्ड जोड़े के थोक डेटाबेस। नए उल्लंघन ढेर में जुड़ जाते हैं; पुराना डेटा अनिश्चित काल तक प्रसारित होता रहता है। आपका 2015 लिंक्डइन पासवर्ड अभी भी मौजूदा कॉम्बोलिस्ट में है। यही कारण है कि दस साल पुराने उल्लंघन आज भी उपयोगकर्ताओं को प्रभावित करते हैं, विशेष रूप से वे जो पासवर्ड का पुन: उपयोग करते हैं।

    संगठनों को क्या करना चाहिए विफल उल्लंघन जो केवल मजबूत हैश को उजागर करते हैं, वे प्लेनटेक्स्ट या MD5.

  • Encrypted को बाकी हिस्सों में उजागर करने वाले उल्लंघनों की तुलना में बहुत कम हानिकारक होते हैं। डेटाबेस-स्तरीय एन्क्रिप्शन एक हार्डवेयर सुरक्षा मॉड्यूल में कुंजीबद्ध होता है। जिस हमलावर को डेटाबेस बैकअप मिलता है, उसे अभी भी HSM एक्सेस की आवश्यकता होती है।
  • डेटा न्यूनीकरण। 2024 टी ऐप का उल्लंघन विशेष रूप से दर्दनाक था क्योंकि ऐप ने महिलाओं से आईडी दस्तावेज़ एकत्र किए थे; यदि ऐसा नहीं होता, तो उल्लंघन उतना ही बुरा होता।

    • अक्सर पूछे जाने वाले प्रश्नों

    क्या मुझे उल्लंघन के बाद पहचान-सुरक्षा सेवा का भुगतान करना चाहिए?
    शायद नहीं। उनका मूल्य प्रस्ताव उन सेवाओं की निगरानी करना है जो आप स्वयं निःशुल्क कर सकते हैं। एक फ़्रीज़ की गई क्रेडिट फ़ाइल (यूएस में मुफ़्त) और एक पासवर्ड मैनेजर तथा महत्वपूर्ण खातों पर 2FA अधिकांश व्यावहारिक लाभ देता है। महंगी सेवाएँ अधिकतर कानूनी समय और प्रतिपूर्ति के लिए बीमा होती हैं, जिनकी अधिकांश उपयोगकर्ताओं को आवश्यकता नहीं होती है।
    मेरे क्रेडेंशियल्स ऐसे उल्लंघनों में क्यों हैं जिनके बारे में मैंने कभी नहीं सुना?
    कॉम्बोलिस्ट। पुराने उल्लंघनों को बड़े पैमाने पर बेचे जाने वाले डेटाबेस में बंडल किया जाता है और वर्षों तक पुन: प्रसारित किया जाता है। एचआईबीपी द्वारा सूचीबद्ध कुछ "उल्लंघन" ये कॉम्बोलिस्ट हैं, मूल घटनाएं नहीं। डेटा अभी भी वास्तविक है - केवल स्रोत का नाम एग्रीगेटर है, मूल साइट नहीं।
    क्या एन्क्रिप्टेड पासवर्ड उल्लंघन में सुरक्षित हैं?
    यह हैशिंग पर निर्भर करता है. bcrypt या Argon2 हैश अद्वितीय मजबूत पासवर्ड के लिए लगभग अनिश्चित काल तक ऑफ़लाइन क्रैकिंग का विरोध करते हैं; कमजोर पासवर्ड ("पासवर्ड123", "क्वर्टी") मजबूत हैश के बावजूद भी शब्दकोश हमलों का शिकार हो जाते हैं। किसी भी उचित पासवर्ड के लिए अनसाल्टेड एमडी5 लगभग तुरंत टूट जाता है। साइट की हैशिंग पसंद आपके पासवर्ड जितनी ही मायने रखती है।
    क्या मुझे उल्लंघन के बाद खाते बंद कर देने चाहिए?
    यदि आप सेवा का उपयोग नहीं करते हैं, हाँ - कम खाते = छोटी आक्रमण सतह। यदि आपको अभी भी इसकी आवश्यकता है, तो पासवर्ड बदलें और 2FA जोड़ें। किसी खाते को हटाने से पूर्वव्यापी रूप से उल्लंघन किया गया डेटा नहीं हटता है, लेकिन यह भविष्य के जोखिम को सीमित करता है।
    सबसे अधिक हानिकारक एकल डेटा उल्लंघन क्या है?
    रैंक करना कठिन है, लेकिन 2013-2014 याहू उल्लंघन (3 अरब खाते), 2017 इक्विफैक्स उल्लंघन (147 मिलियन एसएसएन और क्रेडिट डेटा), और विभिन्न कॉम्बोलिस्ट प्रत्येक ने विशाल उपयोगकर्ता आबादी को उजागर किया। क्षति डेटा संवेदनशीलता के अनुसार भिन्न होती है - एसएसएन/क्रेडिट एक्सपोज़र से उबरना ईमेल + पासवर्ड की तुलना में कठिन है।
    डेटा उल्लंघनों की व्याख्या: वे कैसे होते हैं, आप कैसे पता लगाते हैं, और क्या करना है