साइबर सुरक्षा विशेषज्ञ समीप आर्यल, जो फेसबुक की "बाउंटी हंटर" सूची में सबसे ऊपर हैं, ने हाल ही में इस सोशल नेटवर्क पर एक सुरक्षा खामी के बारे में जानकारी दी है, जिससे हैकर्स पीड़ितों के खातों का फायदा उठा सकते हैं। इस खामी का पता 2 फरवरी को चला और इसे ठीक भी कर दिया गया था, लेकिन सुरक्षा नियमों के कारण इसकी जानकारी एक महीने बाद ही सार्वजनिक की गई।
आर्याल के अनुसार, यह खामी फेसबुक पासवर्ड रीसेट प्रक्रिया से संबंधित है, जिसमें एक वैकल्पिक सुविधा के माध्यम से उपयोगकर्ता द्वारा लॉग इन या पंजीकृत किए गए किसी अन्य डिवाइस पर 6 अंकों का प्रमाणीकरण कोड भेजा जाता है। इस कोड का उपयोग उपयोगकर्ता को प्रमाणित करने और नए डिवाइस (जिस पर पहले लॉग इन नहीं किया गया है) पर पासवर्ड रीसेट प्रक्रिया को पूरा करने के लिए किया जाता है।
क्वेरी विश्लेषण के दौरान, उन्होंने पाया कि फेसबुक एक निश्चित प्रमाणीकरण कोड भेजता है (जो संख्या अनुक्रम को नहीं बदलता है), जो 2 घंटे के लिए वैध होता है और इसमें ब्रूट-फोर्स हमलों को रोकने के लिए कोई सुरक्षा उपाय नहीं हैं, जो एक प्रकार का अनधिकृत घुसपैठ है जिसमें सही वर्ण अनुक्रम खोजने के लिए सभी संभावित पासवर्ड स्ट्रिंग को आज़माने की विधि का उपयोग किया जाता है।
लॉगिन कोड स्कैन करने मात्र से फेसबुक अकाउंट हैक हो गया।
इसका मतलब यह है कि कोड मिलने के दो घंटे के भीतर, एक हैकर फेसबुक के सिस्टम द्वारा किसी भी निवारक उपाय का सामना किए बिना अनगिनत बार गलत एक्टिवेशन कोड दर्ज कर सकता है। सामान्य तौर पर, यदि कोड या पासवर्ड बहुत बार गलत दर्ज किया जाता है, तो एक सुरक्षा प्रणाली संदिग्ध खाते के लिए लॉगिन एक्सेस को अस्थायी रूप से निलंबित कर देती है।
सामान्य लोगों के लिए 2 घंटे शायद ज्यादा समय न हो, लेकिन सपोर्ट टूल्स का इस्तेमाल करने वाले हैकर्स के लिए यह पूरी तरह से संभव है।
हमलावर को सत्यापन कोड अनुरोध भेजने के लिए केवल लक्ष्य खाते के लॉगिन नाम की आवश्यकता होती है, फिर वे 2 घंटे तक लगातार ब्रूट-फोर्स हमला करते हैं, जब तक कि वे आसानी से पासवर्ड रीसेट न कर लें, नियंत्रण हासिल न कर लें और असली खाता मालिक के सत्रों को "बाहर" न कर दें, इससे पहले कि वे कुछ भी कर सकें।
एनसीएस के मुख्य प्रौद्योगिकी अधिकारी श्री वू न्गोक सोन के अनुसार, इस प्रकार के हमले से बचाव करना उपयोगकर्ता की क्षमता से परे है और इसे जीरो-क्लिक अटैक के नाम से जाना जाता है। इस विधि से हैकर्स पीड़ित के खाते को उपयोगकर्ता की किसी भी कार्रवाई के बिना ही चुरा सकते हैं।
"जब इस खामी का फायदा उठाया जाता है, तो पीड़ित को फेसबुक से एक सूचना मिलती है। इसलिए, अगर आपको अचानक फेसबुक से पासवर्ड रिकवरी के बारे में कोई सूचना मिलती है, तो बहुत संभावना है कि आपके खाते पर हमला हुआ है और उसे हैक कर लिया गया है," श्री सोन ने बताया। विशेषज्ञ ने कहा कि इस तरह की खामियों के मामले में, उपयोगकर्ता केवल सेवा प्रदाता द्वारा बग को ठीक करने का इंतजार कर सकते हैं।
वियतनाम समेत दुनिया भर के कई देशों में फेसबुक एक लोकप्रिय सोशल नेटवर्क है, और उपयोगकर्ता इसका उपयोग करते समय बड़ी मात्रा में व्यक्तिगत डेटा अपलोड और स्टोर करते हैं। इसलिए, हैकर्स अक्सर धोखाधड़ी की योजनाओं को अंजाम देने के लिए इस प्लेटफॉर्म पर खातों को निशाना बनाते हैं और उन पर नियंत्रण हासिल कर लेते हैं।
इनमें सबसे प्रचलित तरीका है पीड़ित का रूप धारण करके उसके मित्रों की सूची में मौजूद रिश्तेदारों से संपर्क करके पैसे ट्रांसफर करने का अनुरोध करना और फिर धोखाधड़ी करना। डीपफेक तकनीक की मदद से फर्जी वीडियो कॉल करने की इस विधि ने कई लोगों को जाल में फंसाया है। और अधिक विश्वास पैदा करने के लिए, स्कैमर फेसबुक अकाउंट के मालिक के नाम से ही बैंक खाते खरीदते और बेचते हैं ताकि वे आसानी से अपनी धोखाधड़ी को अंजाम दे सकें।
हमले का एक अन्य तरीका खातों को हैक करना और उनका उपयोग मैलवेयर युक्त लिंक या फ़ाइलें भेजने के लिए करना है, जिससे वे सोशल मीडिया पर फैल जाते हैं। यह मैलवेयर पीड़ित के डिवाइस पर सक्रिय होने के बाद हमला करता है और व्यक्तिगत जानकारी (जैसे बैंक खाता संख्या, फ़ोटो, संपर्क, संदेश और डिवाइस की मेमोरी में संग्रहीत अन्य डेटा) चुरा लेता है।
[विज्ञापन_2]
स्रोत लिंक
टिप्पणी (0)