एक सुरक्षा शोधकर्ता के अनुसार, 100 मिलियन से अधिक क्रेडिट और डेबिट कार्ड धारकों के संवेदनशील डेटा को डार्क वेब पर लीक कर दिया गया है। डेटा में कार्डधारकों के पूर्ण नाम, टेलीफोन नंबर और ई-मेल पते शामिल हैं, साथ में उनके कार्ड के पहले और अंतिम चार अंक। यह पेमेंट प्लेटफॉर्म Juspay से संबंधित प्रतीत होता है जो भारतीय और वैश्विक व्यापारियों के लिए लेन-देन की प्रक्रिया करता है, जिसमें Amazon, MakeMyTrip और Swiggy शामिल हैं। बेंगलुरु स्टार्टअप ने स्वीकार किया कि अगस्त में उपयोगकर्ता के कुछ डेटा से छेड़छाड़ की गई थी।

गैजेट्स 360 के साथ साझा की गई फ़ाइलों के अनुसार, डार्क वेब पर दिखाई देने वाला डेटा ऑनलाइन लेनदेन से संबंधित है जो कम से कम मार्च 2017 और अगस्त 2020 के बीच हुआ था। इसमें विभिन्न भारतीय कार्डधारकों के व्यक्तिगत विवरण के साथ-साथ उनकी समाप्ति तिथियां, ग्राहक आईडी और कार्ड के पहले और अंतिम चार अंकों के साथ नकाबपोश कार्ड नंबर शामिल हैं। हालांकि, विशेष रूप से लेनदेन या ऑर्डर विवरण स्पष्ट रूप से लीक का हिस्सा नहीं हैं।

खुलासा कार्डधारियों पर फिशिंग हमलों को अंजाम देने के लिए स्कैमर्स द्वारा लैंडफिल में उपलब्ध संपर्क जानकारी के साथ प्रकट किया जा सकता है।

साइबर सुरक्षा शोधकर्ता राजशेखर राजाहरिया ने इस सप्ताह की शुरुआत में डेटा उल्लंघन का पता लगाया था। उन्होंने गैजेट्स 360 को बताया कि लीक हुए डेटा को हैकर द्वारा डार्क वेब पर बेचा जा रहा था।

राजाहरिया ने कहा, “हैकर टेलीग्राम पर खरीदारों से संपर्क करता है और बिटकॉइन में भुगतान मांगता है।”

हालाँकि डेटा डंप स्पष्ट रूप से यह स्पष्ट नहीं करता है कि यह किसी विशेष प्लेटफ़ॉर्म से जुड़ा है या नहीं, लेकिन राजाहरिया ने गैजेट्स 360 को बताया कि वे जेस्पे के साथ संबंध का पता लगा सकते हैं, और कंपनी ने यह भी पुष्टि की है कि गैजेट 360 पर एक डेटा उल्लंघन है । , हालांकि इसने अधिक जानकारी नहीं दी।

शोधकर्ता ने कहा कि, अपनी धारणा को सत्यापित करने के लिए, उन्होंने MySQL नमूना फ़ाइलों में डेटा फ़ील्ड्स की तुलना की, जो उन्हें हैकर से Juspay API दस्तावेज़ फ़ाइल के साथ मिली थी। “दोनों बिल्कुल समान थे,” उन्होंने कहा।

नवीनतम डेटा लीक के संबंध में विवरण प्रदान किए बिना, जस्पे के संस्थापक विमल कुमार ने गैजेट्स 360 को बताया कि 18 अगस्त को एक “अनधिकृत प्रयास” का पता चला था जो कि प्रगति पर था।

कुमार ने एक ईमेल में कहा, “कोई कार्ड नंबर, वित्तीय प्रविष्टि या लेनदेन डेटा से समझौता नहीं किया गया था।” “प्रदर्शन उद्देश्यों के लिए उपयोग किए जाने वाले गैर-अनाम ईमेल, टेलीफोन नंबर और नकाबपोश कार्ड वाले डेटा रिकॉर्ड (कार्ड के पहले चार और अंतिम चार अंक, जिन्हें संवेदनशील नहीं माना जाता है) से समझौता किया गया है।”

कुमार ने कहा कि ईमेल और मोबाइल की जानकारी दस गणनाओं का एक छोटा सा अंश थी और अधिकांश जानकारी सर्वरों पर अंकित थी। वह यह भी दावा करता है कि दस कोट्स कार्ड का विवरण नहीं थे और यह ग्राहक मेटाडेटा था, जिसमें उपयोगकर्ताओं के ईमेल और मोबाइल जानकारी वाले चेसिस थे।

‘नकाबपोश नक्शा डेटा (प्रदर्शित करने के लिए उपयोग किए जाने वाले गैर-संवेदनशील डेटा) के दो मायने थे। “हमारा कार्ड सुरक्षित एक अन्य प्रणाली में है जो पीसीआई के साथ अनुपालन करता है और कभी एक्सेस नहीं किया गया था,” उन्होंने कहा।

राजाहरिया का दावा है कि कार्ड नंबर नकाबपोश होने के बावजूद डिक्रिप्ट किया जा सकता है अगर किसी हैकर ने कार्ड के फिंगरप्रिंट के लिए इस्तेमाल किए गए एल्गोरिदम का आविष्कार किया हो। हालांकि, कुमार शोधकर्ता से सहमत नहीं हैं।

‘हम विभिन्न एल्गोरिदम के साथ हैशिंग के सैकड़ों चक्कर लगाते हैं और एक नमक भी है (कार्ड नंबर के बगल में एक और नंबर है)। हमारे द्वारा उपयोग किए जाने वाले एल्गोरिदम वर्तमान में रिवर्स इंजीनियर के लिए संभव नहीं हैं, भले ही पर्याप्त कंप्यूटर संसाधन हों, ‘उन्होंने कहा।

जेसे ने कुछ दिनों पहले अपने साइबर स्पेस पार्टनर साइबल से कुछ नमूने लिए थे, जिनका वह अभी मूल्यांकन कर रहा है। कुमार ने गैजेट्स 360 को बताया कि जेसे ने उसी दिन अपने व्यापारिक साझेदारों को सूचित किया कि उसने अपने सर्वरों तक अनधिकृत पहुंच देखी थी।

कंपनी ने कहा कि डेवलपर्स द्वारा उपयोग की जाने वाली अपनी कुछ पुरानी डेवलपर कुंजियों में सुरक्षा अंतरालों की पहचान की और सभी उपकरणों के लिए दो-कारक प्रमाणीकरण (2FA) को अनिवार्य बनाया, जो कि उनकी टीमों तक पहुंच है।

हालांकि, राजाहरिया का कहना है कि जेस्पे का सुरक्षा पक्ष अभी भी उतना स्वस्थ नहीं है। उन्होंने गैजेट्स 360 को बताया कि उन्होंने कंपनी की वेबसाइट पर एक कॉन्फ़िगरेशन मुद्दे पर ध्यान दिया है जो वर्तमान में दुर्भावनापूर्ण वेबसाइटों पर पुनर्निर्देशित हो रहा है।

“एक पुराना अप्रयुक्त डोमेन (एक बीटा परीक्षण उत्पाद के लिए उपयोग किया जाता है) ने एक एडब्ल्यूएस इंटरनेट प्रोटोकॉल (आईपी) को इंगित किया है जो एक अन्य एडब्ल्यूएस उपयोगकर्ता द्वारा पुनर्प्राप्त किया गया है, जिसके सर्वर में यह सामग्री है।”

विवरण Juspay वेबसाइट पर उपलब्ध हैं प्रदर्शन इसके पास प्रतिदिन 50 मिलियन उपयोगकर्ताओं तक पहुंचने वाले 150 से अधिक लोगों की एक टीम है। इसके उत्पादों को प्रतिदिन चार मिलियन से अधिक लेनदेन की प्रक्रिया का दावा किया जाता है, और इसके प्रणाली विकास किट (एसडीके) 100 मिलियन से अधिक उपकरणों पर उपलब्ध हैं। Amazon, Airtel, Flipkart, Vi (Vodafone Idea), Swiggy और Uber जैसे व्यवसाय उन प्रमुख ग्राहकों में से हैं जो अपने ग्राहकों के लिए भुगतान करना संभव बनाते हैं।

2012 में स्थापित, Juspay भुगतान कार्ड उद्योग (PCI DSS) मानक के स्तर 1 का अनुपालन करता है, जो कि व्यापारियों को भुगतान करने के लिए PCI सुरक्षा मानक परिषद द्वारा दिए गए अनुपालन का उच्चतम स्तर है।

पिछले महीने, राजाहरिया ने पाया कि सात मिलियन भारतीय क्रेडिट और डेबिट कार्ड धारकों का व्यक्तिगत डेटा डार्क वेब के माध्यम से लीक हो गया था। 1.3 मिलियन से अधिक भारतीय बैंक ग्राहकों के संवेदनशील डेटा भी 2019 में डार्क वेब पर दिखाई देंगे।

विशेषज्ञ अक्सर बताते हैं कि भारत में डेटा लीक अधिक प्रचलित हो रहा है क्योंकि देश अपने डिजिटल बुनियादी ढांचे का विस्तार करता है, लेकिन उचित साइबर सुरक्षा नियमों के बिना। गोपनीयता संरक्षण कानून की कमी भी देश में सक्रिय कंपनियों को अपने उपयोगकर्ता डेटा की मजबूती से रक्षा करने के लिए मजबूर नहीं करती है।


2021 का सबसे रोमांचक तकनीकी लॉन्च क्या होगा? हमने ऑर्बिटल पर चर्चा की, हमारी साप्ताहिक प्रौद्योगिकी पॉडकास्ट, जिसे आप सदस्यता ले सकते हैं Apple पॉडकास्ट, Google पॉडकास्ट, का आरएसएस, एपिसोड डाउनलोड करें, या नीचे प्ले बटन दबाएं।


LEAVE A REPLY

Please enter your comment!
Please enter your name here