58% संगठन डेटा उल्लंघन के खुलासे को स्वीकार करने में विफल रहते हैं
कंपेरिटेक शोधकर्ता उजागर डेटाबेस के लिए नियमित रूप से इंटरनेट को स्कैन करते हैं। जब हमें ऐसे खुलासे का पता चलता है, तो हमारा लक्ष्य जिम्मेदार पक्षों को घटनाओं का खुलासा करना है ताकि वे लीक हुए डेटा को सुरक्षित करने के लिए आवश्यक कार्रवाई कर सकें। अंततः, हम उन अंतिम-उपयोगकर्ताओं पर प्रभाव को कम करना चाहते हैं जिनकी जानकारी लीक हो गई है।
अलर्ट पर प्रतिक्रिया समय को ट्रैक करने के बाद, हमने पाया कि आधे से अधिक कंपनियां डेटा एक्सपोज़र नोटिफिकेशन पर प्रतिक्रिया नहीं भेजती हैं। कंपेरिटेक शोधकर्ताओं के अनुसार, 502 डेटा घटनाओं का अध्ययन किया गया,केवल 210 संगठनों ने हमारे अलर्ट पर प्रतिक्रिया भेजी. उनमें से अधिकांश को जवाब देने में एक दिन लगा, लेकिन दूसरों को जवाब देने से पहले 17 दिन तक इंतजार करना पड़ा।
जिन जोखिमों का अध्ययन किया गया, वे असुरक्षित डेटाबेस के परिणामस्वरूप हुए, जिन्हें सार्वजनिक पहुंच के लिए खुला छोड़ दिया गया था। कमजोर डेटाबेस अनधिकृत पार्टियों को डेटा तक पहुंचने में सक्षम कर सकते हैं, जिससे डेटा उल्लंघन हो सकता है जो उन लोगों की गोपनीयता और सुरक्षा को खतरे में डालता है जिनकी जानकारी इसमें संग्रहीत है।
हमारे द्वारा खोजे गए कुछ डेटाबेस में मौजूद विवरणों में खाता लॉगिन क्रेडेंशियल (उपयोगकर्ता नाम और पासवर्ड), व्यक्तिगत जानकारी जैसे नाम, जन्म तिथि, पता, फोन नंबर और सामाजिक सुरक्षा नंबर (एसएसएन), चिकित्सा जानकारी, बैंकिंग डेटा शामिल हैं। और अधिक।
डेटा उल्लंघन प्रकटीकरण अध्ययन की स्थिति
जैसे ही किसी लीक का पता चलता है, हम डेटाबेस के मालिक की पहचान करने के लिए कदम उठाते हैं और उन्हें जोखिम के प्रति सचेत करते हैं। जहां संभव हो, हम लीक हुए डेटाबेस की सामग्री की भी जांच करते हैं और यह निर्धारित करते हैं कि कौन से विवरण उजागर हुए थे और जानकारी किससे संबंधित है। आदर्श रूप से, डेटाबेस मालिक सूचना तक सार्वजनिक पहुंच को बंद करके और संबंधित किसी भी पक्ष को सूचित करके हमारे अलर्ट पर तुरंत प्रतिक्रिया करते हैं।
कुछ मामलों में, प्रतिक्रिया समय बहुत तेज़ होता है। हमें अक्सर प्रकटीकरण और आश्वासन के लिए धन्यवाद देते हुए एक पावती प्राप्त होती है कि डेटाबेस सुरक्षित है (जिसे हम सत्यापित करते हैं)। हालाँकि, कई मामलों में, हमें देरी से प्रतिक्रिया मिलती है या मिलती ही नहीं है।
डेटा उल्लंघन के खुलासे की स्थिति का अध्ययन करने के लिए, हमने पिछले 12 महीनों में अलर्ट पर प्रतिक्रिया समय को ट्रैक किया।23 प्रतिशत (115) संगठनों ने 24 घंटों के भीतर हमारे अलर्ट को स्वीकार किया।12 प्रतिशत (58) को प्रतिक्रिया देने में दो दिन लगे और दो प्रतिशत (10) ने तीन दिनों के भीतर पावती भेजी। अतिरिक्त पांच प्रतिशत (27) को प्रकटीकरण पर प्रतिक्रिया देने में चार से 17 दिनों के बीच का समय लगा। 58 प्रतिशत (292) ने हमारे अलर्ट को बिल्कुल भी स्वीकार नहीं किया।
ऐसे मामलों में जहां कोई पावती प्राप्त नहीं हुई, हमने अनुवर्ती कार्रवाई जारी रखी। हमने पाया कि सभी डेटाबेस अंततः एक बॉट हमले द्वारा सुरक्षित या नष्ट कर दिए गए थे (उस पर अधिक जानकारी नीचे दी गई है)। स्वीकृति की कमी के कारण स्पष्ट नहीं हैं, लेकिन कुछ मामलों में, कंपनियां उल्लंघन को स्वीकार करने से बचने की कोशिश कर सकती हैं ताकि घटना को 'खामोश' किया जा सके। अन्य मामलों में, विशेष रूप से उनमें से कुछ में जहां हमने बॉट हमले देखे, ऐसा प्रतीत होता है कि हमारे अलर्ट को नजरअंदाज कर दिया गया है।
हमारे द्वारा खोजे गए उजागर डेटाबेसों में से अधिकांश इलास्टिक्स खोज (182) और मोंगोडीबी (229) डेटाबेस थे।ये दो सबसे लोकप्रिय डेटाबेस प्रकार हैं जिनका उपयोग NoSQL डेटा को प्रबंधित करने के लिए किया जाता है, इसलिए इसमें कोई आश्चर्य की बात नहीं है कि वे हमारे डेटासेट में भारी मात्रा में मौजूद हैं। हालाँकि ये विकल्प ठोस सुरक्षा सुविधाएँ प्रदान करते हैं, गलत कॉन्फ़िगरेशन उन्हें अनजाने में उजागर कर सकते हैं। हमारे शोध में खोजे गए अन्य सामान्य अनुप्रयोग प्रकारों में काफ्का (13), जेनकिंस (11), ज़ेपेलिन (13), और ज़ूकीपर (12) शामिल हैं।
डेटा लीक के जवाब में त्वरित कार्रवाई क्यों महत्वपूर्ण है?
तो क्या एक या दो दिन सचमुच मायने रखते हैं? हाँ।
हमारे शोध के अनुसार, प्रतिक्रिया समय महत्वपूर्ण है। पहले के एक अध्ययन में, हमने एक हनीपोट स्थापित किया एक उजागर Elasticsearch डेटाबेस सिमुलेशन से मिलकर। लीक हुआ डेटा आठ घंटे के भीतर हमलावरों तक पहुंच गया था।
हमने इसे लगभग 10 दिनों के लिए खुला छोड़ दिया, औरउस अवधि के दौरान इस पर 175 बार हमला किया गया, प्रति दिन औसतन 18 बार। संक्षेप में, त्वरित प्रतिक्रिया समय संवेदनशील डेटा के जोखिम को काफी कम कर सकता है।
ध्यान रखें कि प्रतिक्रिया समय यह नहीं दर्शाता है कि डेटा कितनी देर तक उजागर किया गया है, क्योंकि हमारे शोधकर्ताओं द्वारा इसकी खोज करने से पहले यह खुले तौर पर पहुंच योग्य हो सकता था। हमारे हनीपोट प्रयोग के नतीजों से संकेत मिलता है कि हमलावर सक्रिय रूप से इन जोखिमों की तलाश कर रहे हैं।
हमलावरों द्वारा उजागर किए गए डेटाबेस को खोजने का एक तरीका शोडान और बाइनरी एज जैसे इंटरनेट-ऑफ-थिंग्स (IoT) खोज इंजनों की निगरानी करना है। वास्तव में, हमने पाया कि जिस दिन सबसे अधिक संख्या में हमले हुए, उसी दिन हमारे हनीपोट को शोडान पर अनुक्रमित किया गया था। हालाँकि, उस अध्ययन में,इनमें से किसी भी खोज इंजन पर डेटाबेस दिखाई देने से पहले डेटा को दर्जनों बार एक्सेस किया गया था. इसका तात्पर्य यह है कि हमलावर सक्रिय हो रहे हैं और कमजोर डेटाबेस खोजने के लिए अपने स्वयं के स्कैनिंग टूल का उपयोग कर रहे हैं, न कि केवल IoT खोज इंजनों पर निर्भर रह रहे हैं।
एक बार जब दुर्भावनापूर्ण अभिनेताओं के हाथ में उजागर डेटा आ जाता है, तो वे इसका उपयोग विभिन्न नापाक उद्देश्यों के लिए कर सकते हैं। कुछ लोग जानकारी का उपयोग सीधे साइबर अपराधों में करेंगे जैसे कि फ़िशिंग योजनाएँ , धोखाधड़ी, पहचान की चोरी, जबरन वसूली, और बहुत कुछ। अन्य लोग भूमिगत बाज़ारों जैसे कि डार्कनेट पर पाए जाने वाले बाज़ारों पर बिक्री के लिए जानकारी पोस्ट करेंगे। उदाहरण के लिए, क्रेडिट कार्ड विवरण प्रति सेट $5-35 प्राप्त हो सकते हैं डार्क वेब पर, और 'फुलज़' डेटा (जिसमें नाम, जन्मतिथि, पता, फोन नंबर, एसएसएन और बहुत कुछ शामिल है) एक अपराधी को प्रति सेट $14-60 दे सकता है।
डेटा चोरी के अलावा, डेटाबेस अन्य प्रकार के हमलों के अधीन हैं। उदाहरण के लिए, हमारे हनीपोट प्रयोग में, हमारे डेटाबेस पर एक दुर्भावनापूर्ण बॉट द्वारा हमला किया गया था जिसने डेटाबेस सामग्री को हटा दिया और फिरौती भुगतान का अनुरोध किया। टीम द्वारा देखे गए अन्य हमलों में क्रिप्टोजैकिंग, क्रेडेंशियल चोरी और कॉन्फ़िगरेशन परिवर्तन शामिल थे। एक और हनीपोट प्रयोग कंपेरिटेक शोधकर्ताओं द्वारा चलाया गया आगे असुरक्षित सर्वरों को भेजे गए दुर्भावनापूर्ण अनुरोधों के प्रकारों को दर्शाता है।
डेटा उल्लंघनों के सार्वजनिक प्रकटीकरण के संबंध में कानून
यह देखना चिंताजनक हो सकता है कि पिछले 12 महीनों के भीतर अकेले हमारे शोधकर्ताओं द्वारा सैकड़ों डेटा उल्लंघनों का पता लगाया गया है। और आप सोच रहे होंगे कि इनमें से कितने लीक में आपका अपना डेटा शामिल रहा है। यह हमें उल्लंघनों के सार्वजनिक प्रकटीकरण के लिए लाता है। कई मामलों में, हम प्रभावित लोगों को सचेत करने में मदद करने के लिए, हमारे द्वारा खोजे गए रिसाव का विवरण देते हुए एक सार्वजनिक रिपोर्ट बनाते हैं।लेकिन जब खुलासे की बात आती है तो प्रभावित संगठन की क्या जिम्मेदारी होती है?
यहां, हम सार्वजनिक रूप से उल्लंघनों का खुलासा करने और अंतिम उपयोगकर्ताओं को सचेत करने के लिए कंपनियों को जिम्मेदार ठहराने के लिए बनाए गए कुछ कानूनों पर एक नजर डालते हैं। ध्यान दें कि यह कानूनी सलाह नहीं है और हम आपको आधिकारिक स्रोतों से अतिरिक्त जानकारी लेने के लिए प्रोत्साहित करते हैं।
हम
अमेरिका में, प्रत्येक राज्य के अपने कानून हैं डेटा उल्लंघन प्रकटीकरण के संबंध में। सामान्य तौर पर, अधिकांश कैलिफ़ोर्निया का अनुसरण करते हैं जो इस तरह का कानून बनाने वाला पहला राज्य था। इसके और इसी तरह के कानूनों के तहत,कंपनियों को आमतौर पर प्रभावित पक्षों को लिखित रूप में डेटा उल्लंघन का खुलासा करना आवश्यक होता है, उल्लंघन का पता चलने के तुरंत बाद।
उल्लंघनों की सूचना राज्य अटॉर्नी जनरल को भी दी जानी चाहिए, लेकिन रिपोर्टिंग के मानदंड अलग-अलग होते हैं। आमतौर पर, एक निश्चित आकार के उल्लंघन (उदाहरण के लिए, 500 या 1,000 से अधिक व्यक्तियों को प्रभावित करने वाले) की सूचना दी जानी चाहिए। राज्य के आधार पर, उल्लंघनों की रिपोर्ट केवल तभी की जानी चाहिए यदि ऐसी संभावना हो कि किसी अनधिकृत व्यक्ति ने जानकारी तक पहुंच बनाई है और उल्लंघन से पर्याप्त नुकसान होने की संभावना है।
यूरोपीय संघ
सामान्य डेटा संरक्षण विनियमन (जीडीपीआर) के तहत, सामान्य तौर पर, डेटा उल्लंघनों में शामिल होता है व्यक्तिगत जानकारी खोज के 72 घंटों के भीतर संबंधित प्राधिकारी को सूचित किया जाना चाहिए. जैसा कि रेखांकित किया गया है यूके का सूचना आयुक्त कार्यालय (ICO) : 'यदि उल्लंघन के परिणामस्वरूप व्यक्तियों के अधिकारों और स्वतंत्रता पर प्रतिकूल प्रभाव पड़ने का उच्च जोखिम होने की संभावना है, तो आपको बिना किसी देरी के उन व्यक्तियों को भी सूचित करना चाहिए।'
कनाडा
व्यक्तिगत सूचना संरक्षण और इलेक्ट्रॉनिक दस्तावेज़ अधिनियम (PIPEDA) के तहत, उल्लंघन होना चाहिए कनाडा के गोपनीयता आयुक्त को सूचित किया गया यदि प्रभावित संगठन का मूल्यांकन इंगित करता है कि उल्लंघन से किसी व्यक्ति को महत्वपूर्ण नुकसान (आरआरओएसएच) का वास्तविक जोखिम होता है।उल्लंघन से प्रभावित व्यक्तियों को सीधे सूचित किया जाना चाहिए(कुछ मामलों को छोड़कर जहां अप्रत्यक्ष अधिसूचना की अनुमति है ) उल्लंघन का पता चलने के बाद जितनी जल्दी हो सके।
ऑस्ट्रेलिया
ऑस्ट्रेलिया में कंपनियाँ अधिसूचित डेटा उल्लंघन योजना के अधीन हैं। संगठन और एजेंसियां 'यह आकलन करने के लिए 30 दिन का समय है कि क्या डेटा उल्लंघन से गंभीर नुकसान होने की संभावना है।' गंभीर डेटा उल्लंघन के मामले में,प्रभावित संगठन को इसकी सूचना ऑस्ट्रेलियाई सूचना आयुक्त को देनी होगीऔर अलर्ट ने व्यक्तियों को ईमेल, फोन कॉल या टेक्स्ट संदेश के माध्यम से प्रभावित किया।