ज़ूम उपयोगकर्ताओं की गोपनीयता खतरे में है; हैकर्स ने डार्क वेब पर अब 50 लाख से अधिक ज़ूम यूजेर्स की डिटेल बेचीं गयी हैं

कोरोनावायरस के प्रकोप के बाद, वीडियो कॉन्फ्रेंसिंग ऐप जूम ने बड़े पैमाने पर लोकप्रियता हासिल की है। लेकिन हाल ही में यह कई गोपनीयता और सुरक्षा मुद्दों के लिए सवालों के घेरे में रहा है।

एक अज्ञात साइबर हैकर सस्ती दरों पर URL, ईमेल आईडी, पासवर्ड और HostKeys सहित ज़ूम क्रेडेंशियल्स दे रहा है। सुरक्षा शोधकर्ताओं का यह भी मानना ​​है कि बिक्री के ५० लाख पासवर्ड पुराने जूम खातों से हैं, जबकि नए उपयोगकर्ताओं की डिटेल कम पैसे में वितरित किए जा रहे हैं।

खाते के विवरण, जिन्हें पिछले क्रेडेंशियल स्टफिंग हमलों के माध्यम से लिया गया था, को कई डार्क वेब साइट्स और हैकर फोरम पर पोस्ट किया जाता है, जिनके माध्यम से उन्हें सूची में रखा जाता है। एक साइबरसिटी इंटेलिजेंस फर्म ने हैकर फोरम के माध्यम से लगभग $ 0.0020 प्रति खाता के लिए 530,000 ज़ूम लॉगिन विवरण खरीदने के बाद पीड़ितों को चेतावनी देने की कोशिश की। शोधकर्ताओं ने बताया कि उनके द्वारा खरीदे गए खाते प्रत्येक पीड़ित के ईमेल पते, पासवर्ड, व्यक्तिगत बैठक URL और HostKey के साथ आए थे।

एक सुरक्षा जागरूकता वकील के अनुसार - “क्रेडेंशियल स्टफिंग एक लोकप्रिय हमले की तकनीक है, क्योंकि लोग अक्सर विभिन्न सेवाओं में एक ही पासवर्ड का पुन: उपयोग करते हैं। यही कारण है कि यह महत्वपूर्ण है कि हम लगातार सभी कर्मचारियों को सुरक्षा जागरूकता और प्रशिक्षण प्रदान करें ताकि वे बेहतर जोखिम-आधारित निर्णय ले सकें। इसमें पासवर्ड का पुन: उपयोग नहीं करना और टू-फैक्टर- ऑथेंटिकेशन को सक्षम करना शामिल है जहां यह उपलब्ध है ”।

हैकर इन खाता क्रेडेंशियल्स का उपयोग नापाक उपयोगों के लिए करते हैं। अब जब लाखों संगठन सभी प्रकार के व्यवसाय का संचालन करने के लिए ज़ूम और अन्य वीडियो कॉन्फ्रेंसिंग प्लेटफार्मों का उपयोग कर रहे हैं, तो साइबर अपराधियों ने लॉगिन डिटेल्स या संभावित कमजोरियों में दिलचस्पी दिखाई है जिनका फायदा उठाया जा सकता है।

हैकर्स' ज़ूम की जीरो-डे ’की कमजोरियों को भांप रहे हैं और डार्क वेब पर ऐप से डेटा चोरी कर बेच रहे हैं।

'ज़ीरो-डे' की कमजोरियाँ सॉफ़्टवेयर में दोष हैं जो हैकर्स विशिष्ट उपयोगकर्ताओं को लक्षित करने के लिए उपयोग कर सकते हैं। इन कमजोरियों का पता लगाने वाले सॉफ़्टवेयर के महत्व के आधार पर, डेटा को लाखों डॉलर तक में बेचा जा सकता है। रिपोर्ट में कहा गया है कि जूम में 'ज़ीरो-डे' की कमजोरियों के लिए कीमत 5,000 डॉलर से 30,000 डॉलर तक है।

डार्क वेब पर बेची जा रही कमजोरियों में वेब कैमरा से लेकर माइक्रोफ़ोन सुरक्षा मुद्दों तक की सुरक्षा में ग्लिच शामिल हैं, जिसका उपयोग हैकर्स पासवर्ड, ईमेल या डिवाइस जानकारी सहित संवेदनशील डेटा तक पहुंच प्राप्त करने के लिए कर सकते हैं।

एक प्रसिद्ध साइबर खतरे विश्लेषक और मुख्य सुरक्षा अधिकारी द्वारा तैयार की गई एक रिपोर्ट के अनुसार - "वैश्विक स्तर पर ज़ूम के बढ़ते उपयोग का लाभ उठाने के तरीकों के बारे में अंधेरे वेब पर चैटर को बढ़ाया गया है।" दोनों ने कहा कि जनवरी के बाद से, हैकर्स उन तरीकों को देख रहे हैं जो वे हेरफेर कर सकते हैं और ज़ूम का लाभ उठा सकते हैं, यह जानकर कि अधिक लोग प्लेटफ़ॉर्म का उपयोग कर रहे हैं और गलतियाँ कर रहे हैं।\

सालों पहले चुराई गई लॉगिन डिटेल्स का उपयोग करते हुए, साइबर अपराधी एकाउंट्स में पहुंच प्राप्त करने के लिए पुरानी लॉगिन जानकारी का पुन: उपयोग करके हालिया स्पाइक का उपयोग करने में सक्षम होते हैं, जहां वे मीटिंग को बाधित या ख़राब कर सकते हैं और यहां तक ​​कि बहुमूल्य जानकारी भी चोरी कर सकते हैं।

पिछले कुछ महीनों में, ज़ूम ने लगातार गोपनीयता और सुरक्षा के मुद्दों पर बैकलैश का सामना किया है, जिसके कारण कई संस्थाएं ज़ूम के उपयोग पर पूरी तरह से प्रतिबंध लगाती हैं। एलोन मस्क के स्पेसएक्स, दुनिया भर के स्कूलों और व्यवसायों ने सुरक्षा के लिए ज़ूम आउट का उपयोग करने से कर्मचारियों और छात्रों को प्रतिबंधित करना शुरू कर दिया है।

हमेशा और सब कुछ के लिए एक विकल्प है - सिग्नल प्राइवेट मैसेंजर। हाँ, आप इसे पढ़ें। एक एन्क्रिप्टेड मैसेजिंग सेवा का आगमन जो वीडियो कॉल, ऑडियो कॉल और जूम जैसी ग्रुप चैट सेवाओं को प्रदान कर सकता है। सबसे अच्छा हिस्सा ज़ूम के विपरीत है, सिग्नल संचार स्वचालित रूप से एंड-टू-एंड एन्क्रिप्टेड हैं।

उपयोगकर्ता के मेसज को एन्क्रिप्ट करने के लिए उपयोग की जाने वाली "की" एंडपॉइंट्स पर संग्रहीत की जाती हैं (अर्थात उपयोगकर्ताओं द्वारा, सर्वर द्वारा नहीं)। यह सुनिश्चित करने के लिए कि एक संवाददाता वास्तव में वह व्यक्ति है जो वे होने का दावा करते हैं, सिग्नल उपयोगकर्ता प्रमुख फिंगरप्रिंट (या क्यूआर कोड को स्कैन कर सकते हैं) की तुलना कर सकते हैं। यदि कोई संवाददाता की कुंजी बदलता है, तो उपयोगकर्ता को सूचित करने के लिए ऐप एक ट्रस्ट-ऑन-प्रथम-उपयोग तंत्र को नियोजित करता है।

सिग्नल संदेशों को सिग्नल प्रोटोकॉल (पहले टेक्स्टसेक्योर प्रोटोकॉल के रूप में जाना जाता था) के साथ एन्क्रिप्ट किया गया है। प्रोटोकॉल डबल शाफ़्ट एल्गोरिथ्म, प्रीकी, और एक ट्रिपल डिफी-हेलमैन (3XDH) हैंड्सकेक को जोड़ता है। यह Curve25519, AES-256, और HMAC-SHA256 को आदिम के रूप में उपयोग करता है। प्रोटोकॉल गोपनीयता, अखंडता, गंतव्य सत्यापन, आगे की गोपनीयता, प्रमाणीकरण, प्रतिभागी स्थिरता, पिछड़ी गोपनीयता (उर्फ भविष्य की गोपनीयता), कार्य-क्षमता संरक्षण, संदेश अनपेक्षितता, संदेश प्रत्यावर्तन, भागीदारी प्रत्यावर्तन और अतुल्यकालिकता प्रदान करता है। यह गुमनामी संरक्षण प्रदान नहीं करता है, और संदेशों की रिलेइंग और सार्वजनिक कुंजी सामग्री के भंडारण के लिए सर्वर की आवश्यकता होती है।

सिग्नल प्रोटोकॉल एंड-टू-एंड एन्क्रिप्टेड ग्रुप चैट का भी समर्थन करता है। समूह चैट प्रोटोकॉल एक जोड़ीदार डबल शाफ़्ट और मल्टीकास्ट एन्क्रिप्शन का एक संयोजन है। एक-से-एक प्रोटोकॉल द्वारा प्रदान की गई संपत्तियों के अलावा, समूह चैट प्रोटोकॉल स्पीकर स्थिरता, आउट-ऑफ-ऑर्डर लचीलापन, गिरा हुआ संदेश लचीलापन, कम्प्यूटेशनल समानता, विश्वास समानता, उपसमूह संदेश, साथ ही संविदा और विस्तार योग्य सदस्यता प्रदान करता है। ।