41,665 रीडिंग

उबेर और थाइकोटिक: क्या पासवर्ड वॉल्ट एक बड़ी सुरक्षा भेद्यता है?

द्वारा James Bore4m2022/10/03

बहुत लंबा; पढ़ने के लिए

सुरक्षा जटिल है और साख का प्रबंधन कठिन है। एक 17 वर्षीय हैकर, टीपोट, ने एक उबेर ठेकेदार की साख को पकड़ लिया और उन्हें बार-बार बहु-कारक प्रमाणीकरण अनुरोध भेजना शुरू कर दिया। एक बार जब ठेकेदार नाराज हो गया और उसने स्वीकार कर लिया, तो उनके खाते का उपयोग उबेर के पासवर्ड वॉल्ट, थाइकोटिक में व्यवस्थापक क्रेडेंशियल्स के साथ एक स्क्रिप्ट तक पहुंचने के लिए किया गया, जिससे उन्हें लगभग हर चीज तक पहुंच प्राप्त हुई।

Companies Mentioned

featured image - उबेर और थाइकोटिक: क्या पासवर्ड वॉल्ट एक बड़ी सुरक्षा भेद्यता है?

बहुत बार जब लोग सुरक्षा की बात करते हैं तो पासवर्ड मैनेजर या वॉल्ट की चर्चा सामने आती है। ये व्यक्तियों के लिए उपयोगी हो सकते हैं। हालांकि, वे कंपनियों के लिए कुछ वास्तविक जोखिम उठाते हैं, अगर उन्हें सावधानी से नहीं माना जाता है।

उबेर का हाल ही में उल्लंघन किया गया था , और हमलावर से सभी खातों द्वारा पूरी तरह से। थायकोटिक नामक एक पासवर्ड वॉल्ट सिस्टम सुरक्षा को हटाने के बजाय जोड़ने के लिए डिज़ाइन किए गए कुछ अन्य उपायों के साथ-साथ चलन में आया।

कुछ चीजें हैं जिनसे मैं शुरुआत करना चाहता हूं:

प्रौद्योगिकी और उपकरण स्वयं यहां गलती नहीं हैं, इसके बजाय यह उनके कार्यान्वयन और उबेर के सिस्टम के व्यापक डिजाइन के लिए नीचे है
पासवर्ड प्रबंधकों और वाल्टों को एक दूसरे के स्थान पर उपयोग किया जाता है, लेकिन आमतौर पर एक पासवर्ड वॉल्ट एक कंपनी के लिए एक उद्यम प्रणाली के रूप में अधिक होगा जो एक एकल उपयोगकर्ता के बजाय पूरे व्यवसाय में क्रेडेंशियल्स की रक्षा करेगा।
सुरक्षा जटिल है, और जब इसे शुरू से ही डिज़ाइन नहीं किया गया है तो आप बड़ी कमजोरियों के साथ समाप्त हो जाते हैं, जिसका अर्थ है कि छोटी सी गलती बहुत कम नोटिस के साथ एक बड़ा उल्लंघन बन सकती है

उबेर हैक में क्या हुआ?

हम अधिसूचना थकान के साथ शुरुआत करते हैं। हमलावर, माना जाता है कि यूके का एक 17 वर्षीय "टीपोट" एक उबेर ठेकेदार की साख (संभावित रूप से ऑनलाइन खरीदा गया) पाया गया और उन्हें बार-बार बहु कारक प्रमाणीकरण अनुरोध भेजना शुरू कर दिया। यह तेजी से एक आम हमला होता जा रहा है, बस लोगों को अधिसूचना स्वीकार करने में परेशान करने की कोशिश कर रहा है, हालांकि इस मामले में उन्होंने व्हाट्सएप के माध्यम से एक संदेश भी भेजा है जो उबर आईटी से होने का दावा कर रहा है और ठेकेदार को बता रहा है कि कोई त्रुटि थी, और अगर उन्होंने स्वीकार कर लिया अधिसूचना यह अलर्ट बंद कर देगा।

ठेकेदार द्वारा अलर्ट स्वीकार करने के बाद टीपोट ने इंट्रानेट तक पहुंचने का दावा किया और थायकोटिक सीक्रेट्स वॉल्ट उबर के लिए व्यवस्थापक क्रेडेंशियल्स के साथ एक स्क्रिप्ट मिली, जो उनके क्रेडेंशियल्स को प्रबंधित करने के लिए उपयोग करता है।

व्यवस्थापक क्रेडेंशियल्स का अर्थ यह हो सकता है कि पासवर्ड वॉल्ट में सब कुछ हमलावर के लिए उपलब्ध था, और ऐसा ही हुआ। माना जाता है कि इसमें बग बाउंटी प्रोग्राम तक पहुंच शामिल है, जिसका अर्थ है कि टीपोट ने उबर के ऐप्स और सिस्टम में अनफिक्स कमजोरियों तक पहुंच प्राप्त की है।

तो क्या पासवर्ड वॉल्ट खराब हैं?

यहाँ समस्या है। सुरक्षा जटिल है और साख का प्रबंधन कठिन है। उबेर और अन्य यूनिकॉर्न जिस पैमाने पर काम करते हैं, उनमें से कई शुरू से ही सुरक्षा के लिए नहीं बने हैं, वे प्रभावी रूप से क्विकसैंड की नींव पर काम कर रहे हैं। एक व्यवसाय के रूप में काम करने और निवेशकों की मांगों को पूरा करने की कोशिश करते हुए कभी भी इसके लिए डिज़ाइन नहीं किए गए सिस्टम में सुरक्षा को वापस लेने की सख्त कोशिश कर रहा है।

थायकोटिक जैसे पासवर्ड वॉल्ट अपने आप में एक बुरा विचार नहीं हैं, लेकिन उबेर के मामले में क्या मदद करता? आप शून्य विश्वास सिद्धांतों के बारे में बहुत सी बातें देखेंगे, जिसका अर्थ है कि किसी भी चीज़ को एक्सेस करने के लिए नेटवर्क में किसी एक डिवाइस पर भरोसा नहीं करना, लेकिन जब इन सिद्धांतों के बारे में बहुत बात की जाती है, तो उन्हें लागू करना असंभव रूप से कठिन होता है यदि वे इससे निर्मित नहीं होते हैं शुरुवात।

पासवर्ड वॉल्ट नहीं होना एक और विकल्प है, और इससे शायद मदद मिली होगी क्योंकि इसका मतलब होगा कि उन सभी क्रेडेंशियल्स को एक ही स्थान पर रखने की संभावना कम होगी। दूसरी ओर, इसका मतलब है कि उपयोगकर्ताओं द्वारा पहली बार में कमजोर पासवर्ड का उपयोग करने और उन्हें असुरक्षित तरीके से संग्रहीत करने की अधिक संभावना है जैसे कि स्प्रेडशीट या टेक्स्ट फ़ाइल पर।

यदि उन्हें ठीक से कार्यान्वित किया जाता है, तो पासवर्ड वाल्ट उपयोगकर्ताओं के लिए सुरक्षित सिस्टम को प्रबंधित करना बहुत आसान बनाते हैं। यहां असली गलती पासवर्ड वॉल्ट में पहले स्थान पर व्यवस्थापक क्रेडेंशियल्स होने में थी, इसके बजाय अलग-अलग खातों को केवल उन क्रेडेंशियल्स तक पहुंच के साथ बनाया जाना चाहिए जिनकी उन्हें आवश्यकता है। कोई भी बाहरी ठेकेदार, चाहे कितना भी भरोसेमंद क्यों न हो, को कभी भी उस स्तर की साख तक पहुंच नहीं होनी चाहिए - उन्हें बस इसकी आवश्यकता नहीं है।

मैं सबसे भरोसेमंद कर्मचारियों के साथ भी उस तरह की पहुंच रखने में सहज नहीं होता। यह उस प्रकार की चीज है जिसे आप कई टुकड़ों में विभाजित करते हैं, बोर्ड के कई सदस्यों के बीच फैलते हैं, और आपात स्थिति के लिए एक तिजोरी में बंद कर देते हैं, जैसे कि आपकी पूरी आईटी टीम का एलियंस द्वारा अपहरण कर लिया जाता है।

क्या मुझे पासवर्ड वॉल्ट का उपयोग करना चाहिए?

हमले के बाद एक बात जो सामने आई वह यह थी कि बहुत सारे सुरक्षा उत्पाद विक्रेता अपना समाधान बेच रहे थे और केवल वही इसे रोक सकता था। सबसे अच्छा, इन्हें पूरी तरह से नजरअंदाज कर दिया जाना चाहिए, क्योंकि कमजोरियों के कारण उल्लंघन हुआ (और लगभग हमेशा होता है) जटिल और बिना किसी आसान सुधार के बहुआयामी। दूसरा यह था कि बहुत से लोग सवाल कर रहे थे कि क्या पासवर्ड वॉल्ट या मैनेजर अचानक एक नया और भारी जोखिम लेने के लिए थे, और क्या वे उपयोग करने के लिए सुरक्षित थे।

यूरेजिना के माध्यम से छवि

सरल उत्तर हां है, यदि यह उपयोगी है और आपके लिए समझ में आता है। एक अच्छी तरह से सेट-अप वॉल्ट आपको अधिक सुरक्षित पासवर्ड का उपयोग करने देता है, उन्हें नियमित रूप से घुमाता है, और उन्हें अच्छी तरह से प्रबंधित करता है। कई एंटरप्राइज़ सीक्रेट वॉल्ट प्रत्येक उपयोग के बाद पासवर्ड बदल देंगे और उपयोगकर्ता क्रेडेंशियल जैसे प्रमाणपत्र और अन्य निजी कुंजियों की तुलना में बहुत अधिक प्रबंधित करेंगे।

अधिक जटिल उत्तर यह है कि सुरक्षा को सरल बनाने के लिए आपके द्वारा उपयोग किया जाने वाला कोई भी उपकरण व्यापार बंद और पर्यावरण के लिए अपने स्वयं के जोखिमों का परिचय देगा। एक पासवर्ड वॉल्ट आपको अधिक सुरक्षित पासवर्ड और क्रेडेंशियल्स का बेहतर प्रबंधन देगा, लेकिन ट्रेड ऑफ यह है कि ये सभी क्रेडेंशियल एक ही स्थान पर इसे एक हमलावर के लिए एक आकर्षक लक्ष्य बनाते हैं और एक मामूली उल्लंघन को और अधिक गंभीर रूप से तेज कर सकते हैं।