“धेरै व्यक्तिहरूले धेरै अनलाइन प्लेटफर्महरूमा एउटै प्रयोगकर्ता नाम र पासवर्ड संयोजनहरू प्रयोग गर्छन्… तपाईंको विवरणहरू उजागर गर्नका लागि यी मध्ये एउटालाई मात्र उल्लङ्घन गर्न लिन्छ।”
मालोनीले भने कि ह्याकरहरूले फिल्ड डे राखेका थिए अष्ट्रेलियाली लगइन जानकारीको सरासर मात्रा खरीदको लागि उपलब्ध छ। त्यहाँ लगभग 24.6 बिलियन प्रयोगकर्तानाम र पासवर्ड संयोजनहरू अँध्यारो वेब बजारहरूमा घुमिरहेका छन्, सफ्टवेयर प्रदायक डिजिटल छायाँबाट भर्खरको अनुसन्धान अनुसार।
‘हामी प्रवेश गर्ने प्रत्येक भवनमा पहुँच गर्नको लागि एउटै साँचो प्रयोग गर्दैनौं: घर, कार्यालय, ग्यारेज, सुरक्षित। यही सोच अनलाइन पासवर्डहरूमा लागू हुनुपर्छ।’
Garrett O’Hara, Mimecast वरिष्ठ निर्देशक
“डार्क वेब र विभिन्न ह्याकिङ समुदायहरूले डाटा उल्लंघनबाट प्राप्त चोरी लगइन प्रमाणहरूको लागि बजार प्रदान गर्दछ; यहाँबाट, साइबर अपराधीहरूले सजिलैसँग यी चोरी गरिएका प्रमाणहरू खरिद गर्न वा प्राप्त गर्न सक्छन्, र यी विवरणहरू प्रयोग गरेर अन्य खाताहरूमा पहुँच प्राप्त गर्न सक्छन्, “मालोनीले भने।
“प्रमाणपत्रहरूको एक सेटको सम्झौताले प्रभावित प्रयोगकर्तासँग जोडिएका धेरै खाताहरू र प्लेटफर्महरूको सुरक्षालाई खतरामा पार्ने प्रभाव पार्न सक्छ।”
मोनाश युनिभर्सिटीका साइबरसेक्युरिटीका प्रोफेसर निगेल फेयरले भने कि क्रेडेन्शियल स्टफिंग आक्रमणहरूमा वृद्धि उच्च प्रोफाइल कम्पनीहरूलाई लक्षित गरी लाखौं अष्ट्रेलियालीहरूलाई असर गर्ने सरासर उल्लंघनहरूको कारण हो।
UNSW क्यानबेरा साइबर निर्देशक निगेल फेयर भन्छन् कि घोटालाहरू सीईओहरू जस्ता उच्च-मूल्य लक्ष्यहरू अनुरूप गर्न सकिन्छ। क्रेडिट: पॉल जेफर्स
Optus, HWL Ebsworth, Latitude Monetary, Medibank, DP World र Dymocks का ग्राहकहरू लगायत हालैको उल्लङ्घनमा करोडौं अष्ट्रेलियालीहरू पक्राउ परेका छन्। जसलाई निरन्तर आक्रमणको “नयाँ सामान्य” भनिन्छ।
“यो ती साइबर आक्रमणहरूको प्रत्यक्ष परिणाम हो। यो लिइएको डाटा संग के हुन्छ, “फेयरले भने।
“एक पटक व्यक्तिगत डेटा, लगइन र पासवर्डहरू डाटा उल्लंघनमा लिइएपछि, त्यो जानकारी साइबर अपराधीहरूलाई सजिलै, तुरुन्त र सदाको लागि पहुँच गर्नको लागि उपलब्ध हुन सक्छ।”
माइमकास्टका वरिष्ठ निर्देशक ग्यारेट ओ’हाराले भने कि आक्रमणकारीहरूले उनीहरूले सजिलैसँग धेरै पैसा कमाउन सक्ने ठाउँ खोजिरहेका थिए।
हालैका वर्षहरूमा भएका उल्लङ्घनहरूको ठूलो संख्याको साथ – धेरै खाताहरूको लागि अझै पनि एउटै पासवर्ड प्रयोग गर्ने धेरै व्यक्तिहरूसँग मिलेर – आक्रमणकारीहरूसँग अब प्रयोगकर्तानाम र पासवर्ड कम्बोहरूको ठूलो उपलब्धता र धेरै साइटहरूमा प्रमाणहरू भर्ने स्वचालित गर्नको लागि ठूलो कम्प्युटर शक्ति छ, उसले भन्यो।
“उपन्यास वा परिष्कृत उल्लङ्घनहरूमा संलग्न प्रयासको तुलनामा, प्रमाणिकरण सामग्री प्राविधिक रूपमा धेरै सरल छ, यसले थप आक्रमणकारीहरूलाई उपलब्ध गराउँछ,” ओ’हाराले भने।
“यो रोक्न योग्य छ – हामीले यी कथाहरू समाचारमा हिट भएको हेर्न आवश्यक छैन।
“हामीलाई एउटा जनसंख्या चाहिन्छ जुन पासवर्ड पुन: प्रयोग गर्ने खतराहरू बारे राम्रोसँग सचेत छ। स्पष्ट कारणहरूका लागि हामीले प्रवेश गर्ने प्रत्येक भवनमा पहुँच गर्न एउटै कुञ्जी प्रयोग गर्दैनौं: घर, कार्यालय, ग्यारेज, सुरक्षित। यही सोच हाम्रो अनलाइन पासवर्डहरूमा लागू हुनुपर्छ।
ओ’हाराले भने कि उपभोक्ताहरूले पासवर्ड प्रबन्धक प्रयोग गर्नुपर्दछ, मल्टिफ्याक्टर प्रमाणीकरण खोल्नुहोस् र haveibeenpwned.com जस्ता वेबसाइटहरू जाँच गर्नुहोस् कि उनीहरू अघिल्लो डाटा उल्लंघनमा समातिए।
आइकोनिक साइबर घटनाको प्रत्यक्ष ज्ञान भएको दाबी गर्ने एक व्यक्तिले भने कि जिम्मेवार व्यक्तिहरूले डाटा उल्लंघनहरू आफैं कार्यान्वयन गरेका थिएनन्, बरु तिनीहरूका आफ्नै आपूर्तिकर्ताहरूले उल्लङ्घनहरू गर्छन् जसले खाताहरू बेचेका थिए।
व्यक्तिले आफ्नो पहिचानको रक्षा गर्न गुमनाम रूपमा बोल्दै, ह्याकरहरूले वेबसाइटहरूमा खरिद गरिएका लगइनहरू स्वचालित रूपमा इनपुट गर्न स्क्रिप्टहरू प्रयोग गरे। स्क्रिप्टहरूले त्यसपछि लगइन सफल भयो कि भएन भनेर वर्गीकरण गर्दछ, र उदाहरणका लागि क्रेडिट कार्ड जानकारी सहित खातामा कुन डाटा लिङ्क गरिएको छ।
“म तपाईलाई अहिले नै बताउन सक्छु कि द आइकोनिक एक मात्र स्टोर होइन जुन लक्षित गरिएको छ,” व्यक्तिले भने।
“त्यहाँ अरूहरूको थुप्रोहरू छन् र दुर्भाग्यवश तिनीहरूमध्ये अधिकांशले आफ्ना ग्राहकहरूलाई उनीहरूको जानकारी सम्झौता गरिएको छ भनेर थाहा दिन चिन्ता गर्दैनन्।
गृह मामिला र साइबर सुरक्षा मन्त्री क्लेयर ओ’निल।क्रेडिट: ओस्कर कोलम्यान
“उनीहरूले जे गरे त्यो नैतिक र कानुनी रूपमा सही थिएन,” उनीहरूले ह्याकरहरूको बारेमा भने।
टेड डन्स्टोन बायोमेट्रिक परामर्श फर्म बायोमेटिक्सका सीईओ हुन्। उनले भने कि द आइकोनिक, ड्यान मर्फी र अन्यलाई असर गर्ने क्रेडेन्शियल स्टफिंग आक्रमणहरूले व्यक्तिगत डाटा कति सर्कुलेशनमा छ भनेर देखाउँदछ।
“क्रेडेन्सियल स्टफिंग आक्रमणहरूको आवृत्ति र परिष्कार बढ्न निश्चित छ। यसले व्यक्तिगत प्रयोगकर्ताहरूलाई मात्र होइन, वित्तीय मात्र नभई ग्राहकको विश्वासमा पनि क्षति पुर्याउने व्यवसायहरूका लागि गम्भीर खतरा निम्त्याउँछ, ”उनले भने।
“वास्तविक अग्रिम पासवर्डहरू पूर्ण रूपमा हटाउनु हो।”
लोड गर्दै
एप्पल र गुगल लगायत विश्वका केही ठूला प्राविधिक फर्महरूले पासकी टेक्नोलोजी रोल आउट गर्न थालेका छन् जसले फिंगरप्रिन्ट आईडी, फेसियल आईडी वा स्मार्टफोन मार्फत प्रविष्ट गरिएको पिन मार्फत प्रमाणीकरण गर्न अनुमति दिन्छ। यो एक विकास हो जुन टेक्नोलोजी उद्योगमा धेरैले पासवर्डहरूको लागि अन्त्यको सुरुवातको रूपमा हेरेका छन्।
टेक्नोलोजी अझै पनि प्रारम्भिक चरणमा छ, तर बायोमेट्रिक जानकारी कहिल्यै साझेदारी गरिएको छैन भनेर ह्याकरहरूलाई लगइन जानकारी चोरी गर्नबाट रोक्न सक्छ।
“पासवर्डविहीन संसारमा पूर्ण रूपान्तरण उपभोक्ताहरूले यसलाई आफ्नो जीवनको प्राकृतिक हिस्सा बनाएर सुरु गर्नेछ। कुनै पनि व्यवहार्य समाधान आज प्रयोग गरिएका पासवर्डहरू र लिगेसी मल्टिफ्याक्टर प्रमाणीकरण विधिहरू भन्दा सुरक्षित, सजिलो र छिटो हुनुपर्छ,” माइक्रोसफ्टको पहिचान कार्यक्रम व्यवस्थापनका कर्पोरेट उपाध्यक्ष एलेक्स सिमोन्सले भने।
“प्लेटफर्महरूमा समुदायको रूपमा सँगै काम गरेर, हामी अन्ततः यो दृष्टिकोण हासिल गर्न सक्छौं र पासवर्डहरू हटाउने दिशामा महत्त्वपूर्ण प्रगति गर्न सक्छौं।”
व्यापार ब्रीफिङ न्यूजलेटरले प्रमुख कथाहरू, विशेष कभरेज र विशेषज्ञ राय प्रदान गर्दछ। हरेक हप्ताको बिहान यो प्राप्त गर्न साइन अप गर्नुहोस्।