मल्टी-डिवाइस लाइसेंस (वॉल्यूम छूट)

क्षेत्र बदलें

English Dansk Deutsch Español Français Italiano Nederlands Polski Português Svenska Türkçe Русский हिन्दी 日本語 汉语 漢語 한국어
Computer Security ट्विटर फिर हैक, इस बार हॉटमेल की मदद से

ट्विटर फिर हैक, इस बार हॉटमेल की मदद से

Sumo3000 से Computer Security तक
अनुवाद करने के लिए:
हिन्दी

जब एक हैकर, जो खुद को हैकर क्रॉल कहता है, ने प्रशासनिक सहायक के ई-मेल खाते में सेंध लगाई, तो उसने इसका उपयोग ऐसी जानकारी एकत्र करने के लिए किया जिससे उसे कर्मचारी के Google Apps खाते तक पहुंच की अनुमति मिली। Twitter पर काम करने वाले लोग कंपनी के भीतर दस्तावेज़ और अन्य जानकारी साझा करने के लिए Google Apps के कॉर्पोरेट संस्करण का उपयोग करते हैं।

जाहिर तौर पर हैकर ने कर्मचारी के काम के ई-मेल अकाउंट को हाईजैक करने के लिए माइक्रोसॉफ्ट के हॉटमेल फीचर का इस्तेमाल किया। पिछले हफ्ते कहानी को तोड़ने वाली वेब साइट, टेकक्रंच ने बताया कि हैकर ने सैकड़ों ट्विटर दस्तावेज़ों को चुराने के लिए खराब पासवर्ड प्रथाओं, हॉटमेल की निष्क्रिय खाता सुविधा और इंटरनेट पर व्यक्तिगत जानकारी का लाभ उठाया। टेकक्रंच इस हमले के विवरण का खुलासा करने के लिए हैकर क्रोल को मनाने में कामयाब रहा।

यह प्रक्रिया कैसे शुरू हुई?

इसकी शुरुआत ट्विटर पर काम करने वाले एडमिनिस्ट्रेटिव असिस्टेंट के पर्सनल जीमेल अकाउंट से हुई। कई अन्य वेब अनुप्रयोगों की तरह, व्यक्तिगत संस्करण जीमेल में एक पासवर्ड रिकवरी फ़ंक्शन होता है जो उपयोगकर्ता को अपनी पहचान साबित करने के लिए कई चुनौतियों के साथ प्रस्तुत करता है ताकि उनका पासवर्ड रीसेट किया जा सके। पासवर्ड को पुनर्प्राप्त करने का अनुरोध करने पर, हैकर क्रॉल को एक भाग्यशाली ब्रेक मिला जब जीमेल ने उन्हें सूचित किया कि उपयोगकर्ता के द्वितीयक ईमेल खाते में एक ईमेल भेजा गया था। कुछ सरल अनुमान कार्य के माध्यम से, हैकर क्रोल ने यह निष्कर्ष निकाला कि यह द्वितीयक ईमेल खाता Hotmail.com पर होस्ट किया गया था।

हॉटमेल में, हैकर क्रोल ने एक बार फिर पासवर्ड पुनर्प्राप्ति प्रक्रिया का प्रयास किया, संभावित प्रतिक्रियाओं के लिए इंटरनेट के माध्यम से खुदाई करके, इस कर्मचारी और ट्विटर पर काम करने वाले अन्य लोगों पर किए गए शोध के आधार पर उपयोगकर्ता नाम क्या हो सकता है, इसका एक शिक्षित अनुमान लगाते हुए। . यह इस बिंदु पर है कि हैकर क्रॉल ने पाया कि जीमेल के लिए द्वितीयक के रूप में निर्दिष्ट और हॉटमेल पर होस्ट किया गया खाता अब सक्रिय नहीं था। यह हॉटमेल की एक नीति के कारण है जहां पुराने और निष्क्रिय खातों को हटा दिया जाता है और पुनर्नवीनीकरण किया जाता है।

खाते को पंजीकृत करने और जीमेल से पासवर्ड रिकवरी फ़ंक्शन का पुन: अनुरोध करने के बाद, हैकर क्रोल ने खुद को एक ट्विटर कर्मचारी के व्यक्तिगत जीमेल खाते तक पहुंच के साथ पाया। अच्छी तरह से डिज़ाइन किए गए वेब एप्लिकेशन कभी भी उपयोगकर्ता को अपना पासवर्ड नहीं देंगे यदि वे इसे भूल जाते हैं, तो वे उपयोगकर्ता को एक नया पासवर्ड चुनने के लिए बाध्य करेंगे। यही हैकर क्रोल ने किया। खाते के मालिक को सचेत न करने के लिए कि उनके खाते से छेड़छाड़ की गई है, हालांकि, उसे किसी तरह यह पता लगाना होगा कि मूल जीमेल पासवर्ड क्या था और इसे वापस सेट करना होगा।

यह वह जगह है जहां पासवर्ड अभ्यास के संबंध में एक बुरी आदत चलन में आती है। हम में से अधिकांश इसके दोषी हैं; हम जहां भी जाते हैं एक ही पासवर्ड का इस्तेमाल करते हैं। उपयोगकर्ता द्वारा सब्सक्राइब की गई कुछ यादृच्छिक वेब सेवा से जुड़े खाता स्वामी को भेजे गए एक ई-मेल को ढूंढते हुए, यह स्पष्ट पाठ में पासवर्ड को विस्तृत करता है। यह विशेष पासवर्ड समान ई-मेल में एक से अधिक बार पाया गया था। हैकर क्रॉल अब एक सुरक्षित धारणा बना सकता है कि जीमेल खाते के लिए भी यही पासवर्ड इस्तेमाल किया गया था।

यहां से, हैकर क्रॉल डोमेन के लिए Google Apps पर होस्ट किए गए उपयोगकर्ता के कार्य ई-मेल खाते तक पहुंचने में कामयाब रहा। ऐसा लगता है कि इस कर्मचारी (और वास्तव में, ट्विटर पर काम करने वाले कई अन्य) ने अपने काम के ई-मेल के लिए उसी पासवर्ड का इस्तेमाल किया जैसा उसने अपने व्यक्तिगत जीमेल खाते के साथ किया था। उसी क्षण से, हैकर क्रोल की घुसपैठ जंगल की आग की तरह फैल गई। एकल व्यक्तिगत जीमेल खाते का उपयोग करके वह एक शुरुआती बिंदु के रूप में पहुंच प्राप्त करने में कामयाब रहा, वह अंततः ट्विटर के अंदर और बाहर कई अलग-अलग सेवाओं पर कई खातों को संक्रमित करने में कामयाब रहा।

एक बार हैकर क्रोल के पास Google द्वारा होस्ट किए गए कर्मचारी के ट्विटर ईमेल खाते तक पहुंच हो जाने के बाद, वह ईमेल में अटैचमेंट डाउनलोड करने में सक्षम था जिसमें अधिक पासवर्ड और उपयोगकर्ता नाम सहित संवेदनशील जानकारी शामिल थी। उन्होंने ट्विटर के सीईओ, इवान विलियम्स और इसके सह-संस्थापकों में से एक, बिज़ स्टोन सहित कम से कम तीन वरिष्ठ अधिकारियों के खातों को जल्दी से संभाला। उनके ई-मेल अटैचमेंट की खोज करने से अधिक संवेदनशील डेटा डाउनलोड हो गया।

हैकर क्रॉल जल्द ही यहां से बाहर की ओर फैल गया, फोन लॉग के लिए एटी एंड टी तक पहुंच, इतिहास खरीदने के लिए अमेज़ॅन, अधिक व्यक्तिगत ई-मेल के लिए मोबाइलमे और पूर्ण क्रेडिट कार्ड की जानकारी के लिए आईट्यून्स। अंत में, जब हैकर क्रोल ने अपनी व्यापक घुसपैठ समाप्त कर ली थी, तो वह महत्वपूर्ण ट्विटर अधिकारियों के जीवन को दयनीय बनाने के लिए पर्याप्त व्यक्तिगत और कार्य जानकारी प्राप्त करने में कामयाब रहा था। इस बिंदु पर भी, ट्विटर को बिल्कुल पता नहीं था कि उनके साथ समझौता किया गया है।

इस प्रक्रिया को पूरा करने के बाद Hacker Croll के इरादे क्या थे?

टेकक्रंच के अनुसार, सभी हैकर क्रॉल का इरादा ट्विटर की डेटा सुरक्षा नीतियों की कमजोरियों को उजागर करना था और उन्हें और अन्य स्टार्ट-अप कंपनियों को मजबूत सुरक्षा उपायों पर विचार करना था। यह बहुत अच्छी तरह से सच हो सकता है, क्योंकि जो अनिवार्य रूप से हो सकता था वह हैकर क्रोल उस जानकारी को बेच रहा था जो उसने लाभ कमाने के लिए प्राप्त की थी, जो उसने नहीं की। इसके बजाय, ट्विटर पर अपनी घुसपैठ के माध्यम से उन्होंने जो दस्तावेज हासिल किए, उन्हें टेकक्रंच सहित कई वेब साइटों पर भेजा गया, ताकि उनकी योग्यता साबित हो सके।

ट्विटर ने टेकक्रंच सहित साइटों के खिलाफ कानूनी कार्रवाई की धमकी दी है, जिन्होंने चोरी के दस्तावेजों को प्रकाशित किया है, लेकिन कानूनी विशेषज्ञों ने पिछले हफ्ते चेतावनी दी थी कि भविष्यवाणी करना मुश्किल था कि क्या यह सफल होगा।

लोड हो रहा है...