सर्व डेटा उल्लंघनांची आई 1.3 अब्ज पासवर्ड उघडकीस पाहते… तुमची तडजोड झाली आहे का ते तपासा

सुमारे दोन अब्ज ईमेल पत्त्यांसह 1.3 अब्ज पासवर्डचा मोठा संग्रह ऑनलाइन उघड झाला आहे.

Have I Been Pwned (HIBP), ही एक ऑनलाइन सेवा आहे जी लोकांना डेटाच्या उल्लंघनात उघड झाल्यास त्यांना सूचित करते, सायबर गुन्हेगारांनी चोरलेली क्रेडेन्शियल्स प्रकाशित केलेल्या एकाधिक स्त्रोतांकडून संकलित केलेल्या डेटावर प्रक्रिया केली.

HIBP चे मुख्य कार्यकारी अधिकारी ट्रॉय हंट, ज्यांनी आपला संकेतशब्द यादी तयार केल्याची कबुली दिली, ते म्हणाले: ‘हा कॉर्पस मागील सर्वात मोठ्या उल्लंघनाच्या जवळपास तिप्पट आहे. [have ever] लोड.’

डेटासेटमध्ये 1,957,476,021 अद्वितीय ईमेल पत्ते आणि 1.3 अब्ज अद्वितीय पासवर्ड समाविष्ट आहेत, 625 दशलक्ष HIBP ने यापूर्वी कधीही पाहिले नव्हते.

जगभरात 5.5 अब्जाहून अधिक लोक इंटरनेट वापरत आहेत, संशोधकांनी चेतावणी दिली की सावधगिरी म्हणून प्रत्येकाने त्यांचे पासवर्ड बदलले पाहिजेत.

रेकॉर्डमध्ये क्रेडेन्शियल-स्टफिंग लिस्टसह मागील उल्लंघनांचे संयोजन केले जाते, हा एक प्रकारचा डेटा आक्रमणकर्त्यांद्वारे एकाधिक खात्यांमधून चोरलेले पासवर्ड वापरण्यासाठी वापरला जातो.

HIBP ने वास्तविक वापरकर्त्यांची क्रेडेन्शियल्स तपासून डेटासेटची पडताळणी केली. बरेच पासवर्ड जुने किंवा न वापरलेले होते, परंतु इतर अजूनही सक्रियपणे खात्यांचे संरक्षण करत होते, वास्तविक-जगातील जोखीम स्पष्ट करते.

वापरकर्त्यांना त्यांच्या क्रेडेन्शियलशी तडजोड झाली आहे का हे निर्धारित करण्यात मदत करण्यासाठी हंटने HIBP ऑफर केली, त्यांना त्वरित परिणामांसाठी ईमेल पत्ते आणि पासवर्ड तपासण्याची परवानगी दिली.

डेटासेटमध्ये 1,957,476,021 अद्वितीय ईमेल पत्ते आणि 1.3 अब्ज अद्वितीय पासवर्ड समाविष्ट आहेत

HIBP च्या Pwned पासवर्ड सेवा सुरक्षितता सुधारताना गोपनीयतेचे रक्षण करून, तो कोणत्या ईमेल पत्त्यांशी जोडला गेला आहे हे उघड न करता पासवर्ड पूर्वी उघड झाला आहे की नाही हे कोणालाही तपासण्याची परवानगी देते.

‘मला डेटा भंगांबद्दल हायपरबोलिक बातम्यांच्या मथळ्यांचा तिरस्कार आहे, परंतु ‘2 बिलियन ईमेल पत्ते’ हेडलाइन हायपरबोलिक असण्यासाठी, ते अतिशयोक्तीपूर्ण किंवा अतिरंजित करणे आवश्यक आहे – आणि तसे नाही,’ हंट म्हणाले.

‘आम्ही आतापर्यंत प्रक्रिया केलेल्या डेटाचा हा सर्वात विस्तृत कॉर्पस आहे, एका फरकाने.

सायबरसुरक्षा तज्ञ व्यक्तींना सुरक्षित पासवर्ड मॅनेजर वापरण्यास आणि प्रत्येक खात्यासाठी अद्वितीय, मजबूत पासवर्ड तयार करण्यास सांगून त्वरित कारवाई करण्याचे आवाहन करत आहेत.

ईमेल आणि प्रशासकीय लॉगिनला प्राधान्य देऊन सर्व खात्यांवर द्वि-घटक प्रमाणीकरण सक्षम केले जावे.

वापरकर्त्यांमध्ये पुन्हा वापरलेले किंवा उघड केलेले पासवर्ड ओळखण्यासाठी क्रेडेन्शियल तपासण्यासाठी संस्थांना सल्ला दिला जातो.

लॉगिन आणि पासवर्ड बदलादरम्यान ब्रीच-पासवर्ड डिटेक्शन लागू केले जावे. प्रवेश विशेषाधिकारांचे ऑडिट केले जावे, सेवा खाती प्रतिबंधित केली जावी आणि कालबाह्य क्रेडेन्शियल काढले जावे.

व्यक्तींसाठी, डेटा उल्लंघनाचा मुख्य मार्ग स्पष्ट आहे: एकटे पासवर्ड यापुढे पुरेसे नाहीत.

जगभरात 5.5 अब्जाहून अधिक लोक इंटरनेट वापरत असताना, संशोधकांनी चेतावणी दिली की आश्चर्यकारक संख्येने लोकांच्या किमान काही खात्यांशी तडजोड झाली आहे.

संस्थांना समान आव्हानांचा सामना करावा लागतो परंतु मोठ्या प्रमाणावर.

क्रेडेन्शियल-स्टफिंग हल्ले विशेषतः धोकादायक असतात कारण एकच लीक केलेला पासवर्ड आक्रमणकर्त्यांना कॉर्पोरेट सिस्टम, ईमेल खाती आणि संवेदनशील डेटामध्ये प्रवेश देऊ शकतो.

एंटरप्रायझेसना झिरो-ट्रस्ट ऍक्सेस मॉडेल्सचा अवलंब करणे, किमान-विशेषाधिकार धोरणे लागू करणे, MFA लागू करणे आणि उघड झालेल्या क्रेडेन्शियल्ससाठी सतत देखरेख ठेवण्याचा सल्ला दिला जातो. उल्लंघन-प्रतिसाद योजना सक्रिय असाव्यात आणि स्वयंचलित प्रणालींनी क्रेडेन्शियल-स्टफिंग प्रयत्न शोधले पाहिजेत आणि प्रतिबंधित केले पाहिजेत.

तांत्रिक दृष्टिकोनातून, या मोठ्या निधीवर प्रक्रिया करताना महत्त्वपूर्ण आव्हाने होती.

लाखो दैनंदिन वापरकर्त्यांसाठी थेट सेवा उपलब्ध ठेवत HIBP ला त्याच्या विद्यमान 15 अब्ज सोबत दोन अब्ज रेकॉर्ड व्यवस्थापित करण्यासाठी Azure SQL इन्फ्रास्ट्रक्चर ऑप्टिमाइझ करावे लागले.

कार्यप्रदर्शन आणि अचूकता सुनिश्चित करण्यासाठी पडताळणी आणि चाचणीच्या अनेक फेऱ्यांसह डेटा हॅश केला गेला आणि बॅचमध्ये घातला गेला. थ्रॉटलिंग टाळण्यासाठी आणि वितरणक्षमता राखण्यासाठी प्रभावित सदस्यांना ईमेल सूचना काळजीपूर्वक स्तब्ध केल्या होत्या.

शेवटी, हा प्रचंड डेटासेट पुन्हा वापरलेल्या आणि तडजोड केलेल्या क्रेडेन्शियल्समुळे निर्माण होणारे सतत धोके हायलाइट करतो.