پرو ہوسٹر > بلاگ > انتظامیہ > جنوری - اپریل 2019 کے لیے صارف کے ڈیٹا کا سنسنی خیز لیک

جنوری - اپریل 2019 کے لیے صارف کے ڈیٹا کا سنسنی خیز لیک

جنوری - اپریل 2019 کے لیے صارف کے ڈیٹا کا سنسنی خیز لیک

2018 میں، دنیا بھر میں خفیہ معلومات کے لیک ہونے کے 2263 عوامی مقدمات درج کیے گئے۔ 86% واقعات میں ذاتی ڈیٹا اور ادائیگی کی معلومات سے سمجھوتہ کیا گیا - یہ تقریباً 7,3 بلین صارف ڈیٹا ریکارڈ ہے۔ جاپانی کرپٹو ایکسچینج Coincheck کو اپنے کلائنٹس کے آن لائن بٹوے کے سمجھوتہ کے نتیجے میں $534 ملین کا نقصان ہوا۔ یہ رپورٹ ہونے والے نقصان کی سب سے بڑی رقم تھی۔

یہ ابھی تک معلوم نہیں ہے کہ 2019 کے اعدادوشمار کیا ہوں گے۔ لیکن پہلے ہی بہت سارے سنسنی خیز "لیک" ہیں، اور یہ افسوسناک ہے۔ ہم نے سال کے آغاز سے لے کر اب تک سب سے زیادہ زیر بحث لیکس کا جائزہ لینے کا فیصلہ کیا۔ "اور بھی ہوں گے،" جیسا کہ وہ کہتے ہیں۔

18 جنوری: جمع کرنے کے اڈے۔

18 جنوری کو پبلک ڈومین میں پائے جانے والے ڈیٹا بیس کے بارے میں میڈیا رپورٹس آنا شروع ہوئیں 773M پاس ورڈ والے میل باکسز (بشمول روس کے صارفین)۔ یہ ڈیٹا بیس تقریباً دو ہزار مختلف سائٹس کے لیک ہونے والے ڈیٹا بیس کا ایک مجموعہ تھا جو کئی سالوں میں جمع کیا گیا تھا۔ جس کے لیے اسے مجموعہ نمبر 1 کا نام ملا۔ سائز کے لحاظ سے، یہ تاریخ میں ہیک کیے گئے پتوں کا دوسرا سب سے بڑا ڈیٹا بیس نکلا (پہلا 1 بلین Yahoo! صارفین کا آرکائیو تھا، جو 2013 میں شائع ہوا)۔

یہ جلد ہی واضح ہو گیا کہ مجموعہ نمبر 1 ڈیٹا کی صف کا صرف ایک حصہ تھا جو ہیکرز کے ہاتھ میں چلا گیا۔ انفارمیشن سیکیورٹی کے ماہرین کو 2 سے 5 کے دوسرے "مجموعے" بھی ملے، اور ان کا کل حجم 845 جی بی تھا۔ ڈیٹا بیس میں تقریباً تمام معلومات تازہ ترین ہیں، حالانکہ کچھ لاگ ان اور پاس ورڈز پرانے ہیں۔

سائبر سیکیورٹی کے ماہر برائن کریبس نے ہیکر سے رابطہ کیا جو آرکائیوز فروخت کر رہا تھا اور پتہ چلا کہ مجموعہ نمبر 1 پہلے سے ہی تقریباً دو یا تین سال پرانا ہے۔ ہیکر کے مطابق، اس کے پاس چار ٹیرا بائٹس سے زیادہ حجم کے ساتھ فروخت کے لیے مزید حالیہ ڈیٹا بیس بھی ہیں۔

11 فروری: 16 بڑی سائٹوں سے صارف کے ڈیٹا کا لیک ہونا

دی رجسٹر کا 11 فروری ایڈیشن اطلاع دیکہ ڈریم مارکیٹ ٹریڈنگ پلیٹ فارم بڑی انٹرنیٹ سروسز کے 620 ملین صارفین کا ڈیٹا فروخت کرتا ہے:

  • Dubsmash (162 ملین)
  • MyFitnessPal (151 ملین)
  • MyHeritage (92 ملین)
  • اس کو شیئر کریں (41 ملین)
  • HauteLook (28 ملین)
  • اینیموٹو (25 ملین)
  • EyeEm (22 ملین)
  • 8 فٹ (20 ملین)
  • وائٹ پیجز (18 ملین)
  • تصویریں (16 ملین)
  • 500px (15 ملین)
  • آرمر گیمز (11 ملین)
  • بک میٹ (8 ملین)
  • CoffeeMeetsBagel (6 ملین)
  • آرٹسی (1 ملین)
  • ڈیٹا کیمپ (700)

حملہ آوروں نے پورے ڈیٹا بیس کے لیے تقریباً 20 ہزار ڈالر مانگے؛ وہ ہر سائٹ کے ڈیٹا آرکائیو کو الگ سے بھی خرید سکتے تھے۔

تمام سائٹس کو مختلف اوقات میں ہیک کیا گیا۔ مثال کے طور پر، فوٹو پورٹل 500px نے اطلاع دی کہ یہ لیک 5 جولائی 2018 کو ہوا، لیکن یہ ڈیٹا کے ساتھ آرکائیو کے سامنے آنے کے بعد ہی معلوم ہوا۔

ڈیٹا بیس پر مشتمل ہے ای میل پتے، صارف نام اور پاس ورڈ۔ تاہم، ایک خوش کن حقیقت ہے: پاس ورڈز زیادہ تر کسی نہ کسی طریقے سے انکرپٹ ہوتے ہیں۔ یعنی، ان کو استعمال کرنے کے لیے، آپ کو پہلے ڈیٹا کو ڈکرپٹ کرنے کے بارے میں اپنے دماغ کو ریک کرنا ہوگا۔ اگرچہ، اگر پاس ورڈ سادہ ہے، تو اس کا اندازہ لگانا بالکل ممکن ہے۔

25 فروری: MongoDB ڈیٹا بیس کا انکشاف

25 فروری، انفارمیشن سیکیورٹی کے ماہر باب ڈیاچنکو دریافت کیا آن لائن، ایک غیر محفوظ 150GB MongoDB ڈیٹا بیس جس میں 800 ملین سے زیادہ ذاتی ڈیٹا ریکارڈز ہیں۔ آرکائیو میں ای میل پتے، آخری نام، جنس اور تاریخ پیدائش کے بارے میں معلومات، ٹیلی فون نمبر، پوسٹل کوڈ اور پتے، اور IP پتے شامل تھے۔

پریشان کن ڈیٹا بیس Verifications IO LLC کا تھا، جو ای میل مارکیٹنگ میں مصروف تھا۔ اس کی خدمات میں سے ایک کارپوریٹ ای میلز کی جانچ کر رہی تھی۔ جیسے ہی میڈیا میں مسائل زدہ ڈیٹا بیس کے بارے میں معلومات سامنے آئیں، کمپنی کی ویب سائٹ اور ڈیٹا بیس خود ہی ناقابل رسائی ہو گیا۔ بعد میں، تصدیق IO LLC کے نمائندوں نے بتایا کہ ڈیٹا بیس میں کمپنی کے کلائنٹس کا ڈیٹا شامل نہیں تھا اور اسے کھلے ذرائع سے بھر دیا گیا تھا۔

10 مارچ: FQuiz اور Supertest ایپس کے ذریعے فیس بک صارف کا ڈیٹا لیک ہوا۔

دی ورج کا 10 مارچ کا ایڈیشن ایک پیغام پوسٹ کیا کہ فیس بک نے دو یوکرائنی ڈویلپرز، گلیب سلیوفسکی اور آندرے گورباچوف کے خلاف مقدمہ دائر کیا۔ ان پر صارفین کا ذاتی ڈیٹا چوری کرنے کا الزام تھا۔

ڈویلپرز نے ٹیسٹ کرنے کے لیے ایپلی کیشنز بنائی ہیں۔ ان پروگراموں نے براؤزر کی ایکسٹینشنز انسٹال کیں جو صارف کا ڈیٹا اکٹھا کرتی تھیں۔ 2017-2018 کے دوران FQuiz اور Supertest سمیت چار ایپلی کیشنز تقریباً 63 ہزار صارفین کا ڈیٹا چرانے میں کامیاب ہوئیں۔ زیادہ تر روس اور یوکرین کے صارفین متاثر ہوئے۔

21 مارچ: فیس بک کے لاکھوں پاس ورڈز کو غیر خفیہ کر دیا گیا۔

21 مارچ کو، صحافی برائن کربس نے رپورٹ کیا۔ میرے بلاگ پرکہ فیس بک ایک طویل عرصے سے لاکھوں پاس ورڈز کو بغیر انکرپٹڈ اسٹور کر رہا تھا۔ کمپنی کے تقریباً 20 ملازمین 200 سے 600 ملین کے درمیان فیس بک صارفین کے پاس ورڈ دیکھ سکتے ہیں کیونکہ وہ سادہ ٹیکسٹ فارمیٹ میں محفوظ تھے۔ انسٹاگرام کے کچھ پاس ورڈ بھی اس غیر محفوظ ڈیٹا بیس میں شامل تھے۔ جلد ہی سوشل نیٹ ورک خود کو باضابطہ طور پر پیش کرے گا۔ تصدیق شدہ معلومات.

فیس بک کے انجینئرنگ، سیکورٹی اور پرائیویسی کے نائب صدر پیڈرو کناہوتی نے کہا کہ پاس ورڈز کو بغیر انکرپٹڈ اسٹور کرنے کا مسئلہ حل کر دیا گیا ہے۔ اور عام طور پر، فیس بک لاگ ان سسٹم کو پاس ورڈز کو ناقابل پڑھنے کے لیے ڈیزائن کیا گیا ہے۔ کمپنی کو اس بات کا ثبوت نہیں ملا کہ غیر خفیہ کردہ پاس ورڈز تک غلط طریقے سے رسائی حاصل کی گئی تھی۔

21 مارچ: ٹویوٹا کسٹمر ڈیٹا لیک

مارچ کے آخر میں جاپانی کار ساز کمپنی ٹویوٹا انہوں نے کہا کہ کہ ہیکرز کمپنی کے 3,1 ملین کلائنٹس کا ذاتی ڈیٹا چرانے میں کامیاب ہو گئے۔ ٹویوٹا کے تجارتی ڈویژنوں اور پانچ ذیلی اداروں کے سسٹمز کو 21 مارچ کو ہیک کر لیا گیا تھا۔

کمپنی نے یہ نہیں بتایا کہ کلائنٹس کا کون سا ذاتی ڈیٹا چوری ہوا ہے۔ تاہم، اس نے کہا کہ حملہ آوروں نے بینک کارڈ کے بارے میں معلومات تک رسائی حاصل نہیں کی۔

21 مارچ: EIS ویب سائٹ پر Lipetsk خطے کے مریضوں کے ڈیٹا کی اشاعت

21 مارچ کو عوامی تحریک "مریض پر قابو پانے" کے کارکنان сообщили کہ EIS ویب سائٹ پر لیپٹسک ریجن ہیلتھ ڈیپارٹمنٹ کی طرف سے شائع کردہ معلومات میں مریضوں کا ذاتی ڈیٹا فراہم کیا گیا تھا۔

ہنگامی طبی خدمات کی فراہمی کے لیے سرکاری خریداری کی ویب سائٹ پر کئی نیلامی پوسٹ کی گئی تھیں: مریضوں کو علاقے سے باہر دوسرے اداروں میں منتقل کرنا پڑا۔ تفصیل میں مریض کا آخری نام، گھر کا پتہ، تشخیص، آئی سی ڈی کوڈ، پروفائل وغیرہ کے بارے میں معلومات شامل تھیں۔ حیرت انگیز طور پر، صرف پچھلے سال (!) میں مریضوں کے اعداد و شمار کو آٹھ بار سے کم نہیں کھلے میں شائع کیا گیا ہے۔

لیپٹسک ریجن کے محکمہ صحت کے سربراہ یوری شورشوکوف نے کہا کہ داخلی تحقیقات شروع کر دی گئی ہیں اور جن مریضوں کا ڈیٹا شائع ہوا ہے ان سے معافی مانگی جائے گی۔ لیپیٹسک ریجن کے پراسیکیوٹر کے دفتر نے بھی واقعے کی جانچ شروع کردی۔

04 اپریل: 540 ملین فیس بک صارفین کا ڈیٹا لیک

انفارمیشن سیکیورٹی کمپنی اپ گارڈ اطلاع دی 540 ملین سے زیادہ فیس بک صارفین کا ڈیٹا عوامی طور پر دستیاب ہونے کے بارے میں۔

میکسیکن ڈیجیٹل پلیٹ فارم Cultura Colectiva پر سوشل نیٹ ورک کے اراکین کی پوسٹس جن میں تبصرے، پسندیدگی اور اکاؤنٹ کے نام موجود تھے۔ اور اب ناکارہ ایٹ دی پول ایپ میں، نام، پاس ورڈ، ای میل ایڈریس اور دیگر ڈیٹا دستیاب تھا۔

10 اپریل: ماسکو کے علاقے سے ایمبولینس کے مریضوں کا ڈیٹا آن لائن لیک ہو گیا۔

ممکنہ طور پر ماسکو کے علاقے میں ہنگامی طبی امدادی مراکز (EMS) پر ایک ڈیٹا لیک تھا. قانون نافذ کرنے والے اداروں نے واقعے کی رپورٹس پر پہلے سے تفتیش شروع کردی۔

ماسکو کے علاقے میں ایمبولینس کالز کے بارے میں معلومات پر مشتمل ایک 17,8 جی بی فائل فائل ہوسٹنگ سروسز میں سے ایک پر دریافت ہوئی۔ دستاویز میں ایمبولینس کو کال کرنے والے شخص کا نام، رابطہ کا فون نمبر، ٹیم کو کال کرنے کا پتہ، کال کی تاریخ اور وقت، یہاں تک کہ مریض کی حالت بھی شامل تھی۔ Mytishchi، Dmitrov، Dolgoprudny، Korolev اور Balashikha کے رہائشیوں کے ڈیٹا سے سمجھوتہ کیا گیا۔ خیال کیا جاتا ہے کہ یہ اڈہ یوکرین کے ہیکر گروپ کے کارکنوں نے بنایا تھا۔

12 اپریل: مرکزی بینک بلیک لسٹ
انسداد منی لانڈرنگ قانون کے تحت مرکزی بینک کی بلیک لسٹ سے بینک کلائنٹس کا ڈیٹا انٹرنیٹ پر پائے گئے۔ 12 اپریل۔ ہم تقریباً 120 ہزار کلائنٹس کی معلومات کے بارے میں بات کر رہے تھے جنہیں منی لانڈرنگ اور دہشت گردی کی مالی معاونت (115-FZ) سے نمٹنے کے قانون کے مطابق سروس سے انکار کر دیا گیا تھا۔

ڈیٹا بیس کی اکثریت افراد اور انفرادی کاروباری افراد پر مشتمل ہے، باقی قانونی ادارے ہیں۔ افراد کے لیے، ڈیٹا بیس میں ان کے مکمل نام، تاریخ پیدائش، سیریز اور پاسپورٹ نمبر کے بارے میں معلومات ہوتی ہیں۔ انفرادی کاروباری افراد کے بارے میں - مکمل نام اور INN، کمپنیوں کے بارے میں - نام، INN، OGRN۔ ایک بینک نے غیر سرکاری طور پر صحافیوں کے سامنے اعتراف کیا کہ اس فہرست میں حقیقی مسترد شدہ کلائنٹس شامل ہیں۔ ڈیٹا بیس 26 جون 2017 سے 6 دسمبر 2017 تک "ریفیوزنکس" کا احاطہ کرتا ہے۔

15 اپریل: امریکی پولیس اور ایف بی آئی کے ہزاروں ملازمین کا ذاتی ڈیٹا شائع ہوا۔

ایک سائبر کرائمین گروپ نے امریکی فیڈرل بیورو آف انویسٹی گیشن سے وابستہ کئی ویب سائٹس کو ہیک کرنے میں کامیاب ہو گئے۔ اور اس نے ہزاروں پولیس افسران اور وفاقی ایجنٹوں کی ذاتی معلومات کے ساتھ درجنوں فائلیں انٹرنیٹ پر پوسٹ کیں۔

عوامی طور پر دستیاب کارناموں کا استعمال کرتے ہوئے، حملہ آور کوانٹیکو (ورجینیا) میں ایف بی آئی اکیڈمی سے وابستہ ایک ایسوسی ایشن کے نیٹ ورک وسائل تک رسائی حاصل کرنے میں کامیاب رہے۔ اس کے بارے میں لکھا TechCrunch
چوری شدہ آرکائیو میں امریکی قانون نافذ کرنے والے اداروں اور وفاقی حکام کے نام، ان کے پتے، فون نمبر، ان کے ای میل اور عہدوں کے بارے میں معلومات تھیں۔ مجموعی طور پر تقریباً 4000 مختلف اندراجات ہیں۔

25 اپریل: ڈوکر ہب صارف کا ڈیٹا لیک

سائبر کرائمینلز نے دنیا کی سب سے بڑی کنٹینر امیج لائبریری ڈوکر ہب کے ڈیٹا بیس تک رسائی حاصل کی جس کے نتیجے میں تقریباً 190 ہزار صارفین کے ڈیٹا سے سمجھوتہ کیا گیا۔ ڈیٹا بیس میں صارف کے نام، پاس ورڈ ہیشز، اور GitHub اور Bitbucket ریپوزٹریز کے ٹوکنز شامل تھے جو خودکار Docker کی تعمیر کے لیے استعمال ہوتے ہیں۔

ڈاکر حب انتظامیہ کہا جمعہ، 26 اپریل کو دیر گئے واقعے کے بارے میں صارفین۔ سرکاری معلومات کے مطابق ڈیٹا بیس تک غیر مجاز رسائی 25 اپریل کو معلوم ہوئی۔ واقعے کی تحقیقات ابھی تک مکمل نہیں ہوسکی ہیں۔

آپ Doc+ کے ساتھ کہانی کو بھی یاد کر سکتے ہیں، جو اتنا عرصہ پہلے نہیں تھا۔ روشن Habré پر، ناخوشگوار صورت حال ٹریفک پولیس اور ایف ایس ایس پی کو شہریوں کی ادائیگیوں اور دیگر لیکس کے ساتھ جن کی وہ بیان کرتا ہے۔ اشوٹگ.

ایک نتیجہ کے طور پر

سرکاری ایجنسیوں کے ذریعے، سوشل نیٹ ورکس اور بڑی ویب سائٹس پر محفوظ کیے گئے ڈیٹا کی عدم تحفظ کے ساتھ ساتھ چوری کا پیمانہ بھی خوفناک ہے۔ یہ بھی افسوسناک ہے کہ لیک ہونا معمول بن گیا ہے۔ بہت سے لوگ جن کے ذاتی ڈیٹا سے سمجھوتہ کیا گیا ہے وہ اس کے بارے میں بھی نہیں جانتے ہیں۔ اور اگر وہ جانتے ہیں تو وہ اپنی حفاظت کے لیے کچھ نہیں کریں گے۔

ماخذ: www.habr.com

نیا تبصرہ شامل کریں