Gmail સુરક્ષા: હેકર્સ તરફથી નકલી દાવાઓ ટાળો, ‘HaveIBeenPwned’ વડે તમારું એકાઉન્ટ જોખમમાં છે કે નહીં તે તપાસો
ગૂગલ અને એપલ જેવી મોટી ટેક કંપનીઓ સાથે જોડાયેલા 16 અબજ પાસવર્ડ્સનો રેકોર્ડ તોડનારા ડેટા ભંગનો દાવો કરતા અહેવાલોએ તાજેતરમાં વ્યાપક ધ્યાન ખેંચ્યું છે. જોકે, સાયબર સુરક્ષા સંશોધકો અને ગૂગલ પોતે દાવો કરે છે કે ગભરાટ એક ગેરસમજ પર આધારિત છે: વિશાળ ડેટાસેટ મુખ્યત્વે મુખ્ય પ્લેટફોર્મ સુરક્ષા સિસ્ટમ્સના નવા ભંગને બદલે, અગાઉના લીક્સ અને માલવેર પ્રવૃત્તિમાંથી મેળવેલા જૂના ઓળખપત્રોનું સંકલન છે.
આ વિવાદે ડિજિટલ અર્થતંત્રની ક્રોનિક નાજુકતા અને પાસવર્ડના પુનઃઉપયોગથી ઉદ્ભવતા ગંભીર જોખમોને પ્રકાશિત કર્યા છે.
લીક પાછળનું સત્ય
ન્યૂ યોર્ક પોસ્ટ અને ચોક્કસ મીડિયા આઉટલેટ્સ જેવા આઉટલેટ્સ દ્વારા વારંવાર પ્રચારિત કરાયેલી શરૂઆતની સનસનાટીભર્યા હેડલાઇન્સનો સાયબર સુરક્ષા નિષ્ણાતો દ્વારા ઝડપથી વિરોધ કરવામાં આવ્યો હતો.
ઓસ્ટ્રેલિયન સુરક્ષા સંશોધક અને ભંગ-સૂચના સાઇટ હેવ આઈ બીન પ્વનેડ (HIBP) ના સ્થાપક, ટ્રોય હંટે ઓળખપત્રો ધરાવતા આશ્ચર્યજનક 3.5 ટેરાબાઇટ ડેટાની શોધની જાણ કરી. ડેટામાં 183 મિલિયન અનન્ય ઇમેઇલ સરનામાં અને પાસવર્ડ શામેલ હતા.
મહત્વપૂર્ણ રીતે, હન્ટના વિશ્લેષણ દર્શાવે છે કે આ એન્ટ્રીઓમાંથી 92 ટકા અગાઉ અન્ય ભંગોમાં જોવા મળી હતી. જોકે, બાકીના ભાગમાં 16.4 મિલિયન સરનામાં અને પાસવર્ડનો સમાવેશ થાય છે જે HIBP ડેટાબેઝમાં નવા હતા.
વેબ પર ફરતા આ લીકને સુરક્ષા વર્તુળોમાં “રીપોસ્ટનું રીપોસ્ટ” માનવામાં આવે છે, જેનો અર્થ એ થાય કે તે એક સાયબર હુમલાને બદલે અગાઉના ઘણા લીક્સનું મિશ્રણ છે.
ડેટા કેવી રીતે ચોરાઈ ગયો
નિષ્ણાતોએ નક્કી કર્યું કે ઓળખપત્રો ગૂગલ અથવા એપલ જેવી કંપનીઓના સીધા હેક દ્વારા લેવામાં આવ્યા ન હતા. તેના બદલે, લોગિન માહિતી ઇન્ફોસ્ટીલર લોગ દ્વારા કેપ્ચર કરવામાં આવી હતી.
ઇન્ફોસ્ટીલર્સ એ દૂષિત કોમોડિટી ટૂલ્સ છે જે વપરાશકર્તા લોગ ઇન કરે ત્યારે ઓળખપત્રો કેપ્ચર કરે છે, જેમાં વેબસાઇટ સરનામું, ઇમેઇલ સરનામું અને વપરાયેલ પાસવર્ડનો સમાવેશ થાય છે. આ ઓળખપત્રો ઘણીવાર રેડલાઇન, રેકૂન સ્ટીલર અને વિદાર જેવા માલવેરમાંથી એકત્રિત કરવામાં આવે છે.
આ માલવેર વારંવાર અત્યંત અસરકારક પદ્ધતિઓ દ્વારા વિતરિત કરવામાં આવે છે જેમ કે:
- ફિશિંગ ઇમેઇલ્સ.
- નકલી ડાઉનલોડ્સ.
- પાઇરેટેડ સોફ્ટવેર.
એકવાર ઇન્સ્ટોલ થઈ ગયા પછી, આ દૂષિત પ્રોગ્રામ્સ પીડિતના ઉપકરણમાંથી સાચવેલા પાસવર્ડ્સ, બ્રાઉઝર કૂકીઝ, ટેલિગ્રામ સત્ર ડેટા અને ઓટોફિલ વિગતો છીનવી લે છે. આ ચોરાયેલી માહિતી પછી ડાર્ક વેબ માર્કેટમાં એકઠી કરીને વેચવામાં આવે છે અથવા અસુરક્ષિત ક્લાઉડ સર્વર્સ પર ડમ્પ કરવામાં આવે છે.
ગૂગલ સિસ્ટમ ભંગને નકારે છે
ગુગલે સત્તાવાર રીતે દાવો કર્યો છે કે Gmail સુરક્ષા ભંગ થયો છે, લાખો વપરાશકર્તાઓને અસર કરતા અહેવાલોને “ખોટા,” “અચોક્કસ” અને “ખોટા” તરીકે લેબલ કર્યા છે.
ગૂગલના પ્રવક્તાએ સ્પષ્ટતા કરી કે ભ્રામક અહેવાલો “ઇન્ફોસ્ટીલર ડેટાબેઝની ગેરસમજ” થી ઉદ્ભવે છે. કંપનીએ જણાવ્યું હતું કે Gmail ના સંરક્ષણ મજબૂત રહે છે, અને તેની સ્વચાલિત સુરક્ષા સિસ્ટમો સતત મોટા ઓળખપત્ર લીક પર નજર રાખે છે, જે અસરગ્રસ્ત વપરાશકર્તાઓને પાસવર્ડને સક્રિય રીતે રીસેટ કરવામાં મદદ કરે છે.
વપરાશકર્તા ક્રિયા અને પાસકી માટે દબાણ
સુરક્ષા નિષ્ણાતો અને ટેકનોલોજી કંપનીઓ તાત્કાલિક વપરાશકર્તાઓને કડક ડિજિટલ સ્વચ્છતાનો અભ્યાસ કરવાની સલાહ આપી રહી છે, ખાસ કરીને ઓળખપત્ર સંકલન ડમ્પ દ્વારા ઉભા થતા સતત ખતરાને ધ્યાનમાં રાખીને.
જો કોઈ વ્યક્તિનું ઇમેઇલ સરનામું HaveIBeenPwned.com જેવી સાઇટ્સ પર ફ્લેગ કરવામાં આવે છે, તો તાત્કાલિક પગલાં લેવાની સલાહ આપવામાં આવે છે:
તાત્કાલિક પાસવર્ડ બદલો: ખુલ્લા પાસવર્ડને ફરીથી સેટ કરો અને ખાતરી કરો કે તેનો અન્ય કોઈપણ એકાઉન્ટમાં ફરીથી ઉપયોગ ન થાય.
મલ્ટી-ફેક્ટર ઓથેન્ટિકેશન (MFA) સક્ષમ કરો: શક્ય હોય ત્યાં 2FA નો ઉપયોગ કરો, પ્રાધાન્ય SMS ને બદલે ઓથેન્ટિકેટર એપ્લિકેશન અથવા સુરક્ષા કી દ્વારા, જે ચેડાં થવાની સંભાવના ખૂબ જ વધારે છે.
પાસવર્ડ મેનેજરનો ઉપયોગ કરો: આ ટૂલ્સ અનન્ય, મજબૂત પાસવર્ડ જનરેટ અને સુરક્ષિત રીતે જગલ કરવામાં મદદ કરે છે, અને ઘણા વપરાશકર્તાઓને લીક થયેલી સૂચિમાં પાસવર્ડ દેખાય તો ચેતવણી આપશે. જો પાસવર્ડ મેનેજરનો ભંગ થાય તો પણ, એન્ક્રિપ્ટેડ પાસવર્ડ સામાન્ય રીતે વપરાશકર્તાના માસ્ટર પાસવર્ડ વિના ડિક્રિપ્ટ કરી શકાતા નથી.
પાસકી તરફ આગળ વધવું
ગુગલ અને અન્ય મોટી ટેક કંપનીઓ પાસકીને શ્રેષ્ઠ સુરક્ષા માપદંડ તરીકે અપનાવવા માટે દબાણ કરી રહી છે, તેમને “પાસવર્ડ્સનો મજબૂત અને સુરક્ષિત વિકલ્પ” ગણાવી રહી છે.
પાસકી પરંપરાગત પાસવર્ડ્સને સંપૂર્ણપણે બદલવા માટે રચાયેલ છે. તેમને ચોરી ન શકાય તેવા અને ફિશિંગ, ઓળખપત્ર ભરણ અને અન્ય રિમોટ હુમલાઓ માટે અત્યંત પ્રતિરોધક માનવામાં આવે છે કારણ કે તેઓ “શેર્ડ સિક્રેટ” ને દૂર કરે છે જે પાસવર્ડ્સને સંવેદનશીલ બનાવે છે.
પાસકી કેવી રીતે કાર્ય કરે છે:
- પાસકી એ જ પબ્લિક કી ક્રિપ્ટોગ્રાફિક પ્રોટોકોલનો ઉપયોગ કરે છે જે ભૌતિક સુરક્ષા કીને આધાર આપે છે.
- તેઓ અસમપ્રમાણ એન્ક્રિપ્શન પર આધાર રાખે છે: એક પબ્લિક કી સર્વર પર સંગ્રહિત થાય છે, જ્યારે ખાનગી કી સ્થાનિક રીતે વપરાશકર્તાના ઉપકરણ પર સંગ્રહિત થાય છે (ઘણીવાર સિક્યોર એન્ક્લેવમાં).
- લોગ ઇન કરવા માટે ઉપકરણને ક્રિપ્ટોગ્રાફિક પડકાર પસાર કરવાની જરૂર પડે છે, જે સામાન્ય રીતે ઉપકરણના સ્ક્રીન લોક, ફિંગરપ્રિન્ટ અથવા ફેસ સ્કેનનો ઉપયોગ કરીને પ્રમાણિત થાય છે.
- પાસકી તોડવા માટે ઉપકરણ-દર-ઉપકરણ ધોરણે ખાનગી કી મેળવવાની અથવા એન્ક્રિપ્શનને સંપૂર્ણપણે તોડવાની જરૂર પડશે.
જ્યારે કેટલીક સાઇટ્સ હજુ પણ ફોલબેક તરીકે પાસવર્ડ્સ પર આધાર રાખે છે, નિષ્ણાતો ભાર મૂકે છે કે મોટા પાયે ઓળખપત્ર લીક સામે એકાઉન્ટ સુરક્ષાને મજબૂત બનાવવા માટે શક્ય હોય ત્યાં પાસકીનો ઉપયોગ કરવો મહત્વપૂર્ણ છે.
