Hackger Bitcoin बाउंटी और हैक के बाद नए डेटा सुरक्षा जोड़ता है

मैट जॉनसन, लेजर के नए मुख्य सूचना सुरक्षा अधिकारी (CISO) के पास सिर्फ दौड़ने के लिए नहीं बल्कि अच्छी तरह से दौड़ लगाते हुए मैदान मारने के अलावा कोई विकल्प नहीं था। डेटा सुरक्षा और बढ़ते हमलों जैसे कि बिटकॉइन पंपिंग के उपोत्पाद के रूप में आने वाले अन्य क्षेत्रों के बीच, काम के पहले सप्ताह में ग्राहकों की जानकारी के एक व्यापक डेटा डंप से नतीजे की छानबीन में उलझा हुआ था।

कंपनी के इतिहास में सबसे बड़ी हैक के बाद, और जॉनसन के शुरू होने के एक हफ्ते के बाद, हार्डवेयर वॉलेट कंपनी लेजर ने डेटा ब्रीच को संबोधित करने और इस तरह की हैक को फिर से सुनिश्चित नहीं करने के लिए अपने पहले उपायों की घोषणा की है।

इनमें हैकर्स का शिकार करने के लिए ब्लॉकचैन एनालिटिक्स फर्म Chainalysis के साथ काम करना, 5 की पेशकश शामिल है बीटीसी हैकर की गिरफ्तारी के लिए अग्रणी सूचना के लिए इनाम और कंपनी ने क्या जानकारी रखी है, जहां यह संग्रहीत है और इसे कितने समय तक बनाए रखा गया है, इसकी व्यापक समीक्षा करें।

लेजर हैक

लेजर ने सार्वजनिक रूप से खुलासा किया कि ग्राहक जानकारी को जुलाई 2020 में समझौता किया गया था। उस समय, कंपनी ने अनुमान लगाया था 9,500 है ग्राहक हैक से प्रभावित हुए थे। बाद के महीनों में, CoinDesk ने हैकर्स द्वारा निष्पादित किए गए फ़िशिंग प्रयासों को ईमेल सहित, को समझाने का एक स्ट्रिंग प्रलेखित किया आधिकारिक लेजर पत्राचार और पाठ संदेश की नकल की।

फिर, दिसंबर 2020 में, ए डेटा फेंका गया “के रूप में 1 मिलियन ईमेल पते और 272,000 नाम, उन लोगों के मेल पते और फोन नंबर उजागर किए, जिन्होंने लेजर के उपकरणों का आदेश दिया था, जो क्रिप्टोक्यूरेंसी पर्स के लिए निजी कुंजी संग्रहीत करते हैं,” जैसा कि CoinDesk ने बताया। प्रभावित लोगों की संख्या मूल अनुमान से बहुत अधिक थी 9,500 है

डेटा डंप के बाद के दिनों में सिम स्वैप की गड़बड़ी की सूचना मिली थी और कुछ ग्राहकों को मिलना शुरू हो गया था जबरन वसूली हिंसा के खतरों सहित ईमेल।

अब, लेजर ने हैक के बारे में नई जानकारी जारी की है, जिससे पता चलता है कि संभावना थी कि, उस समय, Shopify पर अभिनेताओं को दुष्ट करने के लिए, इसके ई-कॉमर्स भागीदार उस समय।

Shopify के बदमाश एजेंट

23 दिसंबर, 2020 को, लेजर को एक घटना की शॉपिफाई द्वारा अधिसूचित किया गया था जिसमें “व्यापारी डेटा को शामिल किया गया था जिसमें उनकी सहायता टीम के दुष्ट सदस्य (ग्राहक) ने ग्राहक लेनदेन रिकॉर्ड प्राप्त किए थे, जिसमें लेजर का भी रिकॉर्ड था। एक ब्लॉग पोस्ट के अनुसार, अप्रैल और जून 2020 में एजेंट (ओं) ने अवैध रूप से निर्यात किए गए ग्राहक लेनदेन रिकॉर्ड्स को निर्यात किया।

Shopify ने बताया कि लेज़र डेटा ब्रीच इसके प्रकटीकरण का हिस्सा था सितंबर 2020, जिसमें 200 से अधिक व्यापारी शामिल थे। 21 दिसंबर, 2020 तक, हालांकि, Shopify ने यह नहीं पाया था कि इस हमले में लेजर का भी निशाना बनाया गया था। Shopify ने बताया कि लेजर की जांच जारी है और यह मुद्दा कानून प्रवर्तन को सूचित किया गया है।

पिछले दिसंबर में एक साक्षात्कार में, लेज़र के सीईओ पास्कल गॉथियर ने कॉइनडेस्क को बताया कि शुरुआती हैक का हिस्सा था, कंपनी का परिणाम इतनी जल्दी हो गया, और वह और आने वाले CISO मैट जॉनसन एक नई डेटा नीति की घोषणा करेंगे और आगे के पते पर योजना बनाएंगे जनवरी में लीक।

आज, लेजर ने भविष्य के लिए अपनी योजनाओं की घोषणा की।

हैक के बाद लेजर की डेटा सुरक्षा

सबसे पहले और सबसे महत्वपूर्ण, एक ब्लॉग पोस्ट में, लेजर ने दोहराया कि कंपनी अपने 24 रिकवरी शब्दों के लिए ग्राहकों से कभी नहीं पूछेगी, जिसका उपयोग बिटकॉइन और क्रिप्टो वॉलेट तक पहुंचने के लिए किया जा सकता है। उन्होंने यह भी जोर दिया कि जब तक ग्राहकों ने इन शब्दों को साझा नहीं किया था, तब तक उनके लेजर हार्डवेयर डिवाइस सुरक्षित थे।

“हम लेज़र को इकट्ठा करने और ग्राहक डेटा को संभालने के तरीके में परिवर्तन की घोषणा कर रहे हैं: व्यक्तिगत डेटा को कानूनी तौर पर यथासंभव कम समय के लिए रखना, ईमेल में व्यक्तिगत डेटा के प्रदर्शन को कम करना, आवश्यक डेटा को जल्द से जल्द अलग वातावरण में स्थानांतरित करना। और लेजर लाइव के माध्यम से हमारे ग्राहकों के साथ 1: 1 संचार करने के लिए एक सुरक्षित चैनल बना रहा है, “लेखक, नए CISO मैट जॉनसन सहित, लिखा था

सबसे पहले, लेजर डेटा को स्टोर करने के तरीके को बदल रहा है। एक साक्षात्कार में, जॉनसन ने कहा कि जबकि वह उपयोगकर्ता डेटा को बिल्कुल भी नहीं रखना पसंद करेगा, कंपनी को कानूनी तौर पर कुछ समय के लिए ऐसा करने के लिए बाध्य किया जाता है। जॉनसन के अनुसार, यूरोपीय संघ के जनरल प्रोटेक्शन डेटा रेगुलेशन द्वारा गोपनीयता की आवश्यकता है, लेकिन लेजर इससे आगे जाना चाहता है।

जॉनसन ने कहा, “जीडीपीआर से परे जाकर, हमारा मतलब है कि ‘डेटा को जीडीपीआर की तुलना में अधिक समय तक रोककर रखना’ नहीं है, लेकिन इसके विपरीत है।” “हमारा लक्ष्य जल्द से जल्द नाम, पता और फोन नंबर जैसे डेटा को हटाना है, भले ही हमें उन्हें जीडीपीआर के तहत रखने की अनुमति हो। हालांकि, कुछ डेटा को हमें अपने कानूनी दायित्वों जैसे कि लेखांकन या कर आवश्यकताओं को पूरा करने के लिए रखने की आवश्यकता होगी, और इस डेटा को इसकी पहुंच को सीमित करने के लिए और अलग किया जाएगा। ”

हटाना, हटाना, हटाना

आगे बढ़ते हुए, लेजर अपने ई-कॉमर्स पार्टनर के डेटा को डिलीट कर देगा और साथ ही कस्टमर डेटा को एक डेटाबेस में ले जाएगा, जो आपके ऑर्डर के पूरा होते ही इंटरनेट से एक्सेस नहीं किया जा सकता, जैसे ही वे कानूनी रूप से सक्षम होते हैं, उसे डिलीट करने से पहले ।

कंपनी ग्राहकों को भेजे गए पुष्टिकरण ईमेल से नाम, पते और फोन नंबर भी हटा रही है, ताकि यह डेटा तीसरे पक्ष के ई-कॉमर्स ईमेल प्रदाताओं के माध्यम से पारित न हो।

ईमेल तथा सामाजिक मीडिया केवल विपणन संदेशों और घोषणाओं के लिए उपयोग किया जाएगा, लेजर लाइव खातों को तकनीकी और सुरक्षा जानकारी संवाद करने के लिए स्थापित किया जा रहा है, प्रतीत होता है कि पिछले फ़िशिंग घोटाले के उदाहरणों से बचने के लिए, जिसमें स्कैमर्स ने लेजर उपयोगकर्ताओं को प्रोत्साहित किया महत्वपूर्ण सुरक्षा अद्यतन डाउनलोड करें वास्तविक दिखने वाले ईमेल के माध्यम से।

अंत में, जॉनसन डेटा को संभालने वाले तीसरे पक्षों की व्यापक समीक्षा करेंगे।

जॉनसन ने जूम कॉल में कहा, “हम अपनी तीसरी पार्टियों में से हर एक की परीक्षा से गुजर रहे होंगे, जिसे हमें आपूर्ति श्रृंखला के हिस्से के साथ डेटा को साझा या प्रसारित करना होगा।”

“हम गुजर रहे हैं और यह सुनिश्चित करते हुए देख रहे हैं कि उनकी सभी प्रक्रियाएं उचित और कठोर हैं, क्योंकि यदि हम अपना डेटा उन्हें सौंप रहे हैं, तो हमें 100% सुनिश्चित करने की आवश्यकता है कि वे वास्तव में अपने सबसे अच्छे रूप में काम कर रहे हैं। उन सभी न्यूनतम आवश्यकताओं को पूरा करने की क्षमता, और अधिमानतः उन्हें उस पार जाने के लिए धक्का देना। “

एक बिटकॉइन बाउंटी और कानून प्रवर्तन

लेजर विभिन्न कानून प्रवर्तन एजेंसियों के साथ-साथ ब्लॉकचेन एनालिटिक्स फर्म Chainalysis के साथ काम कर रहा है। यह भी हैक के लिए जिम्मेदार लोगों से संबंधित जानकारी के लिए एक बिटकॉइन इनाम की स्थापना की है।

“हम नीचे चल रहे हैं, इसलिए हम वास्तव में पुनर्प्राप्त करने में सक्षम हो सकते हैं, अगर यह सब संभव है, तो निधियों को चोरी करना, अगर यह एक्सचेंजों पर उतर रहा है,” जॉनसन ने कहा। “हम सुनिश्चित करना चाहते हैं कि जानकारी सभी कानूनी तरीके से प्राप्त की जा रही है और कानून प्रवर्तन एजेंसियों के साथ सीधे साझा की जा रही है।

जॉनसन ने कहा कि लेजर यह सुनिश्चित करना चाहता है कि सभी जानकारी एकत्रित करना कानूनी रूप से और “उपरोक्त बोर्ड” के लिए जिम्मेदार व्यक्तियों पर मुकदमा चलाने के लक्ष्य के साथ किया जाए।

ब्लॉग पोस्ट ने बिटकॉइन बाउंटी को अर्हता प्रदान की, जिसमें कहा गया कि बीटीसी का नेतृत्व लेजर के विवेक पर किया जाएगा और विभिन्न कारकों पर विचार किया जाएगा। जॉनसन की टिप्पणियों की गूंज में, ये शामिल हैं कि क्या जानकारी कानूनी रूप से प्राप्त की गई है, क्या यह नया है, यह कितना पर्याप्त है और यह जांच और सफल अभियोजन को आगे बढ़ाने की दिशा में कितना आगे बढ़ेगा।

कंपनी को यह भी उम्मीद है कि वह क्रिप्टो उद्योग में अन्य कंपनियों और व्यक्तियों के साथ मिलकर इस इनाम को निधि दे सकती है। यह एक सामान्य उद्देश्य इनाम निधि, उद्योग भर में घोटाले और फ़िशिंग हमलों से लड़ने के लिए नींव का एक प्रकार है।

“हम सक्रिय रूप से उस पारिस्थितिकी तंत्र की रक्षा और सुधार के लिए काम करने की कोशिश कर रहे हैं,” जॉनसन ने कहा।

रिकवरी वाक्यांश साझा किए जाने पर भी अपने बिटकॉइन की रक्षा करना

लेजर इंजीनियरिंग टीम एक ऐसा उत्पाद भी विकसित कर रही है जो “एक हमलावर के साथ अपने रिकवरी बीज को साझा करने पर भी एक उपयोगकर्ता के धन की रक्षा करेगा।”

जेरमे डी टाइची, लेज़र में क्लाइंट सक्सेस के ग्लोबल हेड, ने एक ईमेल में कहा कि फ़िशिंग के अधिकांश हमले लेज़र नैनो मालिकों को उनके 24-शब्द वाक्यांश को प्रकट करने पर निर्भर करते हैं। स्कैमर्स घबराहट के उस उचित क्षण पर कब्जा कर लेते हैं, जहां मालिकों को लगता है कि उनके फंड जोखिम में हैं। उस समय महत्वपूर्ण सुरक्षा उपायों को याद रखना हमेशा संभव नहीं होता है, खासकर जब स्कैमर लेजर सपोर्ट स्टाफ के रूप में पोज देते हैं।

“हम इस समस्या को स्वीकार कर रहे हैं और हम जल्द ही एक तकनीकी समाधान जारी करेंगे, जो हमारे हार्डवेयर वॉलेट की सुरक्षा के एकल स्तंभ के रूप में 24 शब्दों को हटा देगा और साथ ही साथ बीमा को निधि भी खोलेगा,” डी टाइची ने एक ईमेल में कहा कॉइनडेस्क

इन परिवर्तनों को कैसे और कब स्पष्ट किया जाता है, इसे आगे बढ़ाते हुए और कार्यान्वित करके उपयोगकर्ताओं के विश्वास को पुनः प्राप्त करने की दिशा में एक लंबा रास्ता तय किया जाएगा। लेकिन वे एक व्यापक डेटा उल्लंघन के बाद में लेजर की सुरक्षा के लिए एक कदम आगे का प्रतिनिधित्व करते हैं, और बस क्रिप्टो समुदाय के लिए और अधिक आम तौर पर काम कर सकते हैं। बिटकॉइन और अन्य altcoins फलफूलने के साथ, क्रिप्टो टूल और उत्पादों के आसपास सुरक्षा एक पुनरावृत्ति प्रक्रिया है।

जॉनसन ने कहा, “हमेशा ये नए रास्ते हैं जिनका लोग फायदा उठाने की कोशिश करते हैं।” “तो हमें उस निरंतर पुनर्मूल्यांकन को करना होगा और पूछना होगा कि आज जो भी है, उससे अधिक सुरक्षित बनाने के लिए हम और क्या कर सकते हैं। लेजर वॉलेट से समझौता नहीं किया गया है, इसलिए वे मानव तत्वों के बाद समय और समय और फिर से जा रहे हैं। तो हम और क्या कर सकते हैं? अंतिम ग्राहक की सुरक्षा के लिए हम और क्या कर सकते हैं? क्योंकि ये असली लोग हैं। ”

Related Posts

Leave a Reply

Your email address will not be published. Required fields are marked *