पिछले हफ्तों और महीनों में, बड़ी और छोटी, कई क्रिप्टोक्यूरेंसी कंपनियां मार्केटिंग सेवा प्रदाताओं से डेटा लीक का शिकार हुई हैं। हबस्पॉट द्वारा हाल ही में किए गए डेटा उल्लंघन का सामना करना पड़ा उल्लेखनीय उदाहरण है।
नतीजतन, प्रभावित कंपनियों के संभावित लाखों ग्राहकों की व्यक्तिगत जानकारी सामने आई। कुछ मामलों में, इसमें उनके खातों के बारे में अतिरिक्त विवरण भी शामिल थे।
प्रभावित ग्राहकों को अब विशिष्ट सेवाओं के उपयोगकर्ताओं के रूप में पहचाना गया है, मुख्यतः क्रिप्टोकुरेंसी और डिजिटल संपत्ति स्थान के भीतर, उन्हें फ़िशिंग हमलों, सोशल इंजीनियरिंग और अन्य प्रकार के हमलों के लिए कमजोर बना दिया गया है।
हाल ही में हबस्पॉट घटना सहित, हाल के किसी भी डेटा लीक से लेडन प्रभावित नहीं हुआ था।
एंटोन लिवाजा लेडन की सूचना सुरक्षा टीम के नेता हैं।
यह परिणाम मानक सुरक्षा उपायों से परे जाने और कंपनी की प्रथाओं को हमारे अद्वितीय उद्योग जोखिमों के अनुरूप बनाने का परिणाम है। हम अपने ग्राहकों के डेटा को महत्व देते हैं क्योंकि हम अपने ग्राहकों की संपत्ति करते हैं और इसे सुरक्षित रखने के लिए हम जो कुछ भी कर सकते हैं वह करते हैं।
कई उद्योगों में अन्य कंपनियों की तरह, लेडन हमारे ब्लॉग, ईमेल और लैंडिंग पृष्ठों को प्रबंधित करने के लिए हबस्पॉट का उपयोग करता है। हबस्पॉट एक शक्तिशाली उपकरण है, जिसका यदि सही तरीके से उपयोग किया जाए, तो यह व्यवसायों को ग्राहकों के साथ कुशल तरीके से संवाद करने में मदद कर सकता है। ऑटोमेशन प्लेटफॉर्म का उपयोग करना आपकी मार्केटिंग के स्तर को बढ़ाने का एक शानदार तरीका है, लेकिन सुरक्षा को हमेशा ध्यान में रखना महत्वपूर्ण है। सौभाग्य से ऐसे तरीके हैं जिनसे कंपनियां हबस्पॉट जैसे प्लेटफॉर्म के साथ बातचीत करते समय अपने जोखिम को कम कर सकती हैं।
इस अंश में, हम हाल ही में हुई हबस्पॉट घटना को तोड़ते हैं और उन कदमों पर प्रकाश डालते हैं जिनके परिणामस्वरूप लेडन के क्लाइंट डेटा को सुरक्षित रखा गया था। इन विधियों का उपयोग करके, अन्य कंपनियां या संस्थाएं अपने क्लाइंट डेटा को इस प्रकार के वैक्टर से बचाने के लिए अतिरिक्त परतें जोड़ सकती हैं।
हमारी आशा है कि अपने कार्यों और सीखों को खुले तौर पर दिखाकर, हम भविष्य में इसी तरह की घटना से बचने और उनकी सुरक्षा मुद्रा को बढ़ाने में दूसरों की मदद कर सकते हैं।
हमें शुरू से करना चाहिए।
क्या हुआ?
हबस्पॉट को डेटा उल्लंघन का सामना करना पड़ा क्योंकि उनके एक कर्मचारी से समझौता किया गया था। इसने विरोधी को कई क्लाइंट खातों तक पहुंचने के लिए समझौता किए गए हबस्पॉट खाते का उपयोग करने की अनुमति दी, विशेष रूप से क्रिप्टोक्यूरेंसी कंपनियों को लक्षित करना।
कर्मचारी के खाते से कैसे छेड़छाड़ की गई, और इस परिदृश्य को कम करने के लिए अतिरिक्त नियंत्रण क्यों नहीं थे, इसका विवरण स्पष्ट नहीं है। क्रिप्टो-केंद्रित डेटा उल्लंघनों की एक श्रृंखला में यह अभी तक एक और हमला है जिसमें एक भी शामिल है 2020 में अनुभव किया गया लेजरजो एक हबस्पॉट उल्लंघन के कारण भी था।
हबस्पॉट से सार्वजनिक घटना रिपोर्ट मिल सकती है यहाँ.
रिपोर्ट से:
“एक हबस्पॉट कर्मचारी के पास हबस्पॉट ग्राहक डेटा तक पहुंच क्यों थी?
“कुछ कर्मचारियों के पास हबस्पॉट खातों तक पहुंच है। यह कर्मचारियों जैसे खाता प्रबंधकों और सहायता विशेषज्ञों को ग्राहकों की सहायता करने की अनुमति देता है। इस मामले में, एक बुरा अभिनेता एक कर्मचारी खाते से समझौता करने और हबस्पॉट खातों की एक छोटी संख्या से संपर्क डेटा निर्यात करने के लिए इस पहुंच का उपयोग करने में सक्षम था।
लेडन खुद की रक्षा करने में कैसे सक्षम था?
हबस्पॉट उल्लंघन से लेडन प्रभावित नहीं होने का प्राथमिक कारण हमारे ग्राहक के डेटा की सुरक्षा के लिए हमारा जुनून था, और विस्तार से, हमारे विक्रेता की डेटा तक पहुंच को सीमित करना।
जब हम बाहरी विक्रेताओं का उपयोग करने का निर्णय लेते हैं, तो हमारे लिए एक बड़ा विचार यह है कि क्या हमारे पास अपने डेटा तक विक्रेता के कर्मचारी की पहुंच को अक्षम करने की क्षमता है। हबस्पॉट के मामले में, हमारे पास हमेशा कर्मचारी पहुंच अक्षम होती है, और जब आवश्यक हो, हबस्पॉट कर्मचारियों के लिए समर्थन प्रदान करने के लिए आवश्यक समय सीमा की अवधि के लिए इसे सक्षम करें, और इसे तुरंत बाद में अक्षम कर दें – जो कि बस लागू कर रहा है कम से कम विशेषाधिकार का सिद्धांत.
लेडन में, हम मानते हैं कि तीसरे पक्ष के विक्रेताओं का उपयोग करते समय, हम जोखिम लेते हैं जिसे पूरी तरह से मापना असंभव है, और इस कारण से, अतिरिक्त सावधानी बरतनी चाहिए।
बड़ी कंपनियों में अधिक विश्वास रखने की प्रवृत्ति होती है क्योंकि वे संभवतः सुरक्षा में बहुत अधिक निवेश करते हैं। लेकिन जब हम भरोसा कर सकते हैं, हमें सत्यापित करने की भी आवश्यकता है; जहां हम सत्यापित नहीं कर सकते हैं, हमें हमले के सतह क्षेत्र को कम करने के लिए उपलब्ध सभी विधियों को लागू करना होगा।
एक प्लेटफ़ॉर्म कर्मचारी की हमारे डेटा तक पहुँच को सीमित करना एक ऐसी प्रथा है जिसका उपयोग हम जहाँ कहीं भी यह सुविधा उपलब्ध है, करते हैं, और कुछ ऐसा है जिसे हम तृतीय-पक्ष विक्रेताओं की अपनी मूल्यांकन अवधि के दौरान देखते हैं। कई कंपनियां यह सुविधा प्रदान करती हैं, और जब वे नहीं करती हैं, तो हम अक्सर विक्रेता से इस सुविधा को जोड़ने का अनुरोध करते हैं क्योंकि यह दोनों पक्षों की सुरक्षा स्थिति को लागू करने और सुधारने के लिए अक्सर अपेक्षाकृत कम प्रयास होता है।
शून्य-विश्वास वातावरण में अंतिम-उपयोगकर्ता डेटा तक तृतीय-पक्ष विक्रेता पहुंच को सीमित करना सबसे अच्छा अभ्यास है।
अंतत:, अंदरूनी खतरे सभी कंपनियों के लिए एक महत्वपूर्ण विचार हैं और विफलता के एकल बिंदुओं को समाप्त करने पर ध्यान केंद्रित किया जाना चाहिए, ताकि किसी के साथ समझौता किए जाने पर भी, वे नुकसान का कारण बनने में असमर्थ हों। आपकी कंपनी के खतरे के मॉडल में निर्माण करने के लिए सहायक धारणा यह है कि किसी भी कंपनी में, हर समय, हर टीम में कम से कम एक व्यक्ति को मजबूर किया जाता है या समझौता किया जाता है, सभी मशीनों से हमेशा समझौता किया जाता है और आपके विरोधी अच्छी तरह से वित्त पोषित और धैर्यवान होते हैं।
तृतीय-पक्ष सेवा प्रदाताओं का उपयोग करते समय कंपनियां क्लाइंट डेटा की सुरक्षा कैसे कर सकती हैं?
हमेशा सुनिश्चित करें कि आप केवल वही डेटा साझा करते हैं जिसे तीसरे पक्ष के विक्रेताओं के साथ साझा करने की आवश्यकता है। किसी तृतीय-पक्ष के साथ व्यक्तिगत जानकारी साझा करने पर सावधानी से विचार किया जाना चाहिए, और आमतौर पर केवल तभी किया जाना चाहिए जब अत्यंत आवश्यक हो।
नियामक आवश्यकताओं के कारण डेटा साझा करने का एक उदाहरण होगा। यदि आप किसी तृतीय-पक्ष विक्रेता के साथ डेटा साझा करने का निर्णय लेते हैं, तो इसे केवल डेटा के सबसेट तक सीमित करें, जो प्लेटफ़ॉर्म के कार्यशील होने के लिए कड़ाई से आवश्यक है।
जब तीसरे पक्ष के विक्रेताओं की आवश्यकता होती है, तो “पहले सिद्धांतों” दृष्टिकोण का उपयोग करके उचित परिश्रम किया जाना चाहिए। इसका मतलब है कि जोखिमों का सावधानीपूर्वक आकलन करना, विक्रेता के साथ बातचीत करने वाले डेटा के प्रकार पर विचार करना और यह निर्धारित करना कि वे इसकी रक्षा कैसे करेंगे।
यदि विक्रेता की सुरक्षा आवश्यक डेटा की सुरक्षा करने में विफल रहती है, तो आपको एक अलग विक्रेता खोजने पर विचार करना चाहिए, या एक वैकल्पिक विकल्प का उपयोग करना चाहिए जैसे कि घर में निर्माण करना, जैसा कि हम अक्सर लेडन में करते हैं।
एक मजबूत संस्कृति होना महत्वपूर्ण है जो कर्मचारियों को लगातार याद दिलाती है कि छाया आईटी, ऐसी तकनीकों का उपयोग करने का अभ्यास जो आईटी और सूचना सुरक्षा विभागों द्वारा सत्यापित और ऑन-बोर्ड नहीं किया गया है, एक खतरनाक अभ्यास है जो संगठन की समग्र सुरक्षा स्थिति को गंभीर रूप से प्रभावित कर सकता है। सभी टीमों को यह अच्छी तरह से समझना चाहिए कि नए उपकरणों और संगठनात्मक सेवाओं के चयन में आईटी और सूचना सुरक्षा की महत्वपूर्ण भूमिका होनी चाहिए।
इसके अतिरिक्त, प्लेटफ़ॉर्म अक्सर ऐसी सुविधाएँ प्रदान करते हैं जो सुरक्षा की अतिरिक्त परतें जोड़ती हैं, इसलिए यह पूछना उपयोगी है कि क्या उपलब्ध है। तीसरे पक्ष के विक्रेता पक्ष के साथ-साथ आंतरिक रूप से जोखिम को कम करने के लिए, यहां कुछ सलाह दी गई है कि क्या देखना है और क्या पूछना है, और लागू करने के लिए नियंत्रण:
डेटा तक विक्रेता के कर्मचारी पहुंच को सीधे अक्षम/प्रतिबंधित करना। तीसरे पक्ष के विक्रेता से पूछें कि क्लाइंट डेटा तक पहुंच सीमित करने के लिए उनके पास किस प्रकार के आंतरिक नियंत्रण हैं। देखने के लिए चीजें हैं: हार्डवेयर टोकन का उपयोग (जैसे कि Yubikey, Titan Security Key या अन्य स्मार्ट-कार्ड डिवाइस या व्यक्तिगत हार्डवेयर सुरक्षा मॉड्यूल, या HSM डिवाइस)। के उपयोग के लिए जनादेश फास्ट आइडेंटिटी ऑनलाइन, या FIDO प्रमाणीकरण प्रोटोकॉलव्यक्तियों को संवेदनशील, विशेषाधिकार प्राप्त पहुंच से रोकने के लिए दोहरी नियंत्रण या एन-ऑफ-एम प्रमाणीकरण। उनकी पहुंच पुनर्प्राप्ति प्रक्रिया कैसी दिखती है; यदि यह पर्याप्त कठोर नहीं है, तो इसका उपयोग उनके प्रमाणीकरण तंत्र को बाधित करने के लिए किया जा सकता है। चाहे उनके पास “उत्पादन इंजीनियरिंग” अभ्यास हो, जहां महत्वपूर्ण बुनियादी ढांचे तक पहुंचने वाले इंजीनियर उत्पादन प्रणालियों के साथ बातचीत करने की आवश्यकता वाले किसी भी कार्य को पूरा करने के लिए सीमित नेटवर्क पहुंच के साथ कठोर मशीनों का उपयोग करते हैं। प्रमाणपत्र-आधारित प्रमाणीकरण: क्रिप्टोग्राफ़िक प्रमाणपत्रों का उपयोग करने से संपत्ति की पहुंच केवल उन लोगों तक सीमित होती है जिनके पास प्रमाणपत्र है। आप इसे एक विशेष फ़ाइल के रूप में सोच सकते हैं जो केवल वैध प्रमाण पत्र रखने वाले उपकरणों तक पहुंच को बांधती है। महत्वपूर्ण सेवाओं के लिए प्रमाणपत्र-आधारित प्रमाणीकरण का उपयोग करने की अनुशंसा की जाती है, जैसे एकल साइन-ऑन (एसएसओ) प्रदाता या पारस्परिक परिवहन परत सुरक्षा का उपयोग करके महत्वपूर्ण सेवाओं तक पहुंच प्राप्त करने के लिए (एमटीएलएस) आप प्रमाणपत्र-आधारित प्रमाणीकरण के बारे में अधिक जान सकते हैं यहाँ.IP सुरक्षित सूचीकरण: सेवाएँ अक्सर केवल विशिष्ट IP पतों तक पहुँच को सीमित करने की क्षमता प्रदान करती हैं। इसका लाभ उठाने के लिए आपको एक स्थिर आईपी की आवश्यकता होती है: उपयोगकर्ताओं के समूह के लिए इसे प्राप्त करने का एक तरीका वर्चुअल प्राइवेट नेटवर्क, एक वीपीएन का उपयोग करना है। एन्क्रिप्शन के लिए अपनी खुद की कुंजी का उपयोग करना। तृतीय-पक्ष विक्रेता के पास संग्रहीत डेटा को एन्क्रिप्ट करने के लिए अक्सर अपनी स्वयं की कुंजियों का उपयोग कर सकते हैं। यह एक अतिरिक्त आश्वासन है जो उनके साथ छेड़छाड़ की स्थिति में जोखिम को कम करने में मदद करता है, क्योंकि डेटा को डिक्रिप्ट करने के लिए उपयोग की जाने वाली चाबियां आपके पास संग्रहीत होती हैं – उनके सिस्टम के बाहर – और आपके पास उन तक पहुंच को रद्द करने की क्षमता होती है एक आपात स्थिति। बहु-कारक प्रमाणीकरण (एमएफए) का प्रकार वे अपनी सेवा के उपयोगकर्ताओं के लिए समर्थन करते हैं; असममित क्रिप्टोग्राफी-आधारित प्रमाणीकरण हमारे पास वर्तमान में उपलब्ध सर्वोत्तम है। यह क्रिप्टोक्यूरेंसी के लिए हार्डवेयर वॉलेट का उपयोग करने जैसा है। WebAuthn/Universal 2nd Factor को प्राथमिकता दी जाती है; Yubikey और Titan Security Key कुछ लोकप्रिय डिवाइस हैं जो प्रमाणीकरण प्रोटोकॉल के FIDO परिवार का समर्थन करते हैं। यदि आप अभी तक इस तकनीक का उपयोग नहीं करते हैं और सुरक्षा की परवाह करते हैं, तो हम इसे प्राप्त करने की अत्यधिक अनुशंसा करते हैं। लेडन निकट भविष्य में इस प्रकार के एमएफए के लिए समर्थन शुरू करेगा। एकल साइन-ऑन समर्थन: एसएसओ तकनीक एक केंद्रीकृत बिंदु से कई सेवाओं पर नियंत्रण लगाने की अनुमति देती है। सावधान रहना और SSO को ठीक से कॉन्फ़िगर करना महत्वपूर्ण है क्योंकि अन्यथा यह विफलता का एक बड़ा एकल बिंदु हो सकता है। जैसा कि पहले उल्लेख किया गया है, एसएसओ तक गेटिंग एक्सेस की एक अतिरिक्त परत के रूप में प्रमाणपत्र-आधारित प्रमाणीकरण का उपयोग करने की सिफारिश की जाती है, अधिमानतः एक एमटीएलएस सेटअप में। पासवर्ड प्रबंधन: पासवर्ड मैनेजर का उपयोग करना एक बुनियादी सुरक्षा सर्वोत्तम अभ्यास है। विचार एक मजबूत मास्टर पासफ़्रेज़ (लंबाई में कम से कम 16 वर्ण) का उपयोग करना है, और पासवर्ड मैनेजर में संग्रहीत सभी पासवर्ड बहुत लंबे और जटिल (42 वर्ण या अधिक, और आमतौर पर उपलब्ध अंतर्निहित पासवर्ड मैनेजर का उपयोग करके उत्पन्न) होने चाहिए। . अंगूठे का नियम है: “यदि आपको अपने सभी पासवर्ड याद हैं, तो आप इसे गलत कर रहे हैं।”
हाल ही में हुई हबस्पॉट घटना के दौरान एक सेवा प्रदाता ने मेरा व्यक्तिगत डेटा लीक कर दिया। मैं क्या कर सकता हूं?
हमलों के जोखिम को कम करने के लिए कई कदम उठाए जा सकते हैं:
सुनिश्चित करें कि आपके पास प्रत्येक खाते पर 2-कारक प्रमाणीकरण है जिसमें वित्तीय लेनदेन को संसाधित करने की क्षमता है। अपने 2FA पद्धति के रूप में एसएमएस पर यूबिकी या प्रमाणक-आधारित 2FA (जिसे TOTP के रूप में भी जाना जाता है) जैसे सुरक्षा टोकन का उपयोग करना एक अच्छा अभ्यास है। चूँकि आपने इसे इतना आगे कर दिया है, यहाँ आपके लिए एक छोटी पूर्व-घोषणा है: Ledn इस तिमाही में WebAuthn समर्थन जारी करेगा। दूसरा, प्रत्येक सेवा पर प्लेटफ़ॉर्म ईमेल के लिए एंटी-फ़िशिंग वाक्यांश सक्रिय करें जो इसकी अनुमति देता है। आप फ़िशिंग-विरोधी वाक्यांशों के बारे में अधिक जान सकते हैं यहाँ. कुछ ऐसा प्रयोग करें जिसका अनुमान लगाना कठिन हो। विरोधी अक्सर अपनी पसंद की चीज़ों का पता लगाने के लिए या सोशल मीडिया के माध्यम से बात करने के लिए अपने लक्ष्य पर एक प्रोफ़ाइल का निर्माण करेंगे ताकि वे अपने लक्ष्य के खिलाफ अधिक प्रभावी और परिष्कृत हमले कर सकें। वित्तीय लेनदेन को संसाधित करने की क्षमता के साथ हर सेवा पर सुरक्षित सूची को सक्रिय करें। यह आपके खातों से निकासी को पहले निर्दिष्ट पते तक सीमित कर देगा। इस सुविधा के उचित कार्यान्वयन में उस पते को जोड़ने के बाद “कूल्डाउन” अवधि शामिल होगी, जिसके भीतर पता नहीं भेजा जा सकता है, आमतौर पर 24-48 घंटों के लिए, जो आपको प्रतिक्रिया करने के लिए अधिक समय देता है। यह सुनिश्चित करने के लिए अपने सेवा प्रदाता से संपर्क करें। उन्होंने अब तीसरे पक्ष के विक्रेताओं को क्लाइंट डेटा तक पहुंचने से सीमित कर दिया है, जब तक कि विंडोज़ बिल्कुल जरूरी नहीं है। एक अतिरिक्त सिफारिश है कि आपके द्वारा उपयोग किए जाने वाले प्रत्येक क्रिप्टोकुरेंसी प्लेटफॉर्म के लिए एक अद्वितीय ईमेल का उपयोग करें, क्योंकि इससे आपको अलग-अलग लक्षित करना अधिक कठिन हो जाता है किसी के साथ समझौता होने की स्थिति में प्लेटफॉर्म। संवेदनशील सेवाओं के लिए अपने उपयोगकर्ता नाम/ईमेल को पासवर्ड के समान मानें। सुनना डार्कनेट डायरीज़ का एपिसोड 112. यह आपको एक महान अंतर्दृष्टि देगा कि क्रिप्टोक्यूरेंसी उद्योग में विरोधी कैसे सोचते हैं। यदि आप टीएल; डीआर चाहते हैं तो 45 मिनट से शुरू करें। इसके अतिरिक्त, आप इस उत्कृष्ट संसाधन का उपयोग कर सकते हैं, जिसमें आपकी सुरक्षा और गोपनीयता मुद्रा के विभिन्न पहलुओं को बेहतर बनाने के लिए अनुशंसाओं की एक विस्तृत सूची है: https://github.com/Lissy93/personal-security-checklist
यह एंटोन लिवाजा द्वारा एक अतिथि पोस्ट है। व्यक्त की गई राय पूरी तरह से उनकी अपनी हैं और जरूरी नहीं कि वे बीटीसी इंक या बिटकॉइन पत्रिका को प्रतिबिंबित करें।