चुराई गई व्यक्तिगत जानकारी का काला बाजार अधिकांश डेटा उल्लंघनों को प्रेरित करता है।

डेटा उल्लंघन आम हो गए हैं, और दुनिया भर में हर साल अरबों रिकॉर्ड चोरी हो जाते हैं. डेटा उल्लंघनों के अधिकांश मीडिया कवरेज इस बात पर ध्यान केंद्रित करते हैं कि उल्लंघन कैसे हुआ, कितने रिकॉर्ड चोरी हो गए और उल्लंघन से प्रभावित संगठनों और व्यक्तियों के लिए घटना का वित्तीय और कानूनी प्रभाव। लेकिन इन घटनाओं के दौरान जो डेटा चोरी हो जाता है उसका क्या होता है?

एक के रूप में साइबर सुरक्षा शोधकर्ता, मैं चोरी किए गए डेटा में डेटा उल्लंघनों और काला बाजार को ट्रैक करता हूं। चोरी किए गए डेटा का गंतव्य इस बात पर निर्भर करता है कि डेटा उल्लंघन के पीछे कौन है और उन्होंने एक निश्चित प्रकार का डेटा क्यों चुराया है। उदाहरण के लिए, जब डेटा चोरों को किसी व्यक्ति या संगठन को शर्मिंदा करने, कथित गलत कामों को उजागर करने या साइबर सुरक्षा में सुधार करने के लिए प्रेरित किया जाता है, तो वे प्रासंगिक डेटा को सार्वजनिक डोमेन में जारी करते हैं।

2014 में, उत्तर कोरिया द्वारा समर्थित हैकर्स सोनी पिक्चर्स एंटरटेनमेंट कर्मचारी डेटा चुरा लिया जैसे सामाजिक सुरक्षा नंबर, वित्तीय रिकॉर्ड और वेतन की जानकारी, साथ ही शीर्ष अधिकारियों के बीच ईमेल। फिर हैकर्स ने कंपनी को शर्मिंदा करने के लिए ईमेल प्रकाशित किए, संभवतः ए . जारी करने के लिए प्रतिशोध में कॉमेडी उत्तर कोरिया के नेता किम जोंग उन की हत्या की साजिश के बारे में।

कभी-कभी जब राष्ट्रीय सरकारों द्वारा डेटा चोरी किया जाता है तो इसका खुलासा या बिक्री नहीं की जाती है। इसके बजाय, इसका उपयोग जासूसी के लिए किया जाता है। उदाहरण के लिए, होटल कंपनी मैरियट 2018 में डेटा ब्रीच का शिकार हुई थी जिसमें 500 मिलियन मेहमानों की व्यक्तिगत जानकारी चोरी हो गई थी। इस घटना के प्रमुख संदिग्ध चीनी सरकार द्वारा समर्थित हैकर थे। एक सिद्धांत यह है कि चीनी सरकार ने चुराया ये डेटा अमेरिकी सरकार के अधिकारियों और कॉर्पोरेट अधिकारियों के बारे में जानकारी एकत्र करने के लिए एक खुफिया-एकत्रित प्रयास के हिस्से के रूप में।

लेकिन अधिकांश हैक पैसा कमाने के लिए डेटा बेचने के बारे में प्रतीत होते हैं।

यह (ज्यादातर) पैसे के बारे में है

हालांकि डेटा उल्लंघन राष्ट्रीय सुरक्षा के लिए खतरा हो सकता है, 86% पैसे के बारे में हैं, और 55% संगठित आपराधिक समूहों द्वारा प्रतिबद्ध हैं, के अनुसार Verizon की वार्षिक डेटा उल्लंघन रिपोर्ट breach. चोरी का डेटा अक्सर ऑनलाइन बेचा जाता है अंधेरे वेब. उदाहरण के लिए, 2018 में हैकर्स बिक्री के लिए 200 मिलियन से अधिक रिकॉर्ड की पेशकश की जिसमें चीनी व्यक्तियों की व्यक्तिगत जानकारी शामिल है। इसमें चीनी होटल श्रृंखला Huazhu Hotels Group के 130 मिलियन ग्राहकों की जानकारी शामिल थी।

इसी तरह से चुराया गया डेटा लक्ष्य, सैली ब्यूटी, पीएफ चांग, हार्बर फ्रेट और होम डिपो नामक एक ज्ञात ऑनलाइन ब्लैक-मार्केट साइट पर चालू हुआ Rescator. जबकि एक साधारण Google खोज के माध्यम से रेस्केटर जैसे मार्केटप्लेस को खोजना आसान है, डार्क वेब पर अन्य मार्केटप्लेस केवल इसका उपयोग करके पाया जा सकता है विशेष वेब ब्राउज़र.

खरीदार उस डेटा को खरीद सकते हैं जिसमें वे रुचि रखते हैं। लेनदेन के लिए भुगतान करने का सबसे आम तरीका बिटकॉइन या वेस्टर्न यूनियन के माध्यम से है। कीमतें डेटा के प्रकार, उसकी मांग और उसकी आपूर्ति पर निर्भर करती हैं। उदाहरण के लिए, ए बड़ा अधिशेष चोरी की व्यक्तिगत पहचान की जानकारी 4 में किसी व्यक्ति के बारे में जानकारी के लिए इसकी कीमत US$2014 से घटकर 1 में $2015 हो गई। ईमेल डंप एक लाख से लेकर दो मिलियन ईमेल पते वाले कहीं भी $ 10 के लिए जाते हैं, और मतदाता डेटाबेस विभिन्न राज्यों से $ 100 के लिए बेचते हैं।

चोरी का डेटा कहां जाता है

खरीदार चोरी किए गए डेटा का कई तरह से उपयोग करते हैं। फर्जी लेनदेन करने के लिए क्लोन कार्ड बनाने के लिए क्रेडिट कार्ड नंबर और सुरक्षा कोड का उपयोग किया जा सकता है। पहचान की चोरी में सामाजिक सुरक्षा नंबर, घर का पता, पूरा नाम, जन्मतिथि और अन्य व्यक्तिगत रूप से पहचान योग्य जानकारी का उपयोग किया जा सकता है। उदाहरण के लिए, खरीदार पीड़ित के नाम से ऋण या क्रेडिट कार्ड के लिए आवेदन कर सकता है और फर्जी टैक्स रिटर्न फाइल करें.

कभी कभी चुराई गई व्यक्तिगत जानकारी खरीदी जाती है by विपणन फर्म या कंपनियां जो स्पैम अभियानों में विशेषज्ञ हैं। खरीदार चोरी के ईमेल का उपयोग फ़िशिंग और अन्य सोशल इंजीनियरिंग हमलों में और मैलवेयर वितरित करने के लिए भी कर सकते हैं।

हैकर्स ने लंबे समय से व्यक्तिगत जानकारी और वित्तीय डेटा को लक्षित किया है क्योंकि उन्हें बेचना आसान है। स्वास्थ्य देखभाल डेटा है डेटा चोरों के लिए बना बड़ा आकर्षण हाल के वर्षों में। कुछ मामलों में प्रेरणा जबरन वसूली है।

एक अच्छा उदाहरण फिनिश मनोचिकित्सा अभ्यास फर्म वास्तामो से रोगी डेटा की चोरी है। हैकर्स ने चोरी की गई जानकारी का इस्तेमाल न केवल वास्तुमो से, बल्कि इसके मरीजों से भी फिरौती मांगने के लिए किया। वे ईमेल किए गए मरीज उनके मानसिक स्वास्थ्य रिकॉर्ड को उजागर करने की धमकी के साथ, जब तक कि पीड़ितों ने बिटकॉइन में 200 यूरो की फिरौती का भुगतान नहीं किया। इनमें से कम से कम 300 चोरी के रिकॉर्ड ऑनलाइन पोस्ट किए गए हैंएक एसोसिएटेड प्रेस की रिपोर्ट के अनुसार।

मेडिकल डिप्लोमा, मेडिकल लाइसेंस और बीमा दस्तावेजों सहित चोरी किए गए डेटा का भी इस्तेमाल किया जा सकता है एक चिकित्सा पृष्ठभूमि बनाना.

कैसे पता करें और क्या करें

चोरी हुए डेटा से अपने जोखिम को कम करने के लिए आप क्या कर सकते हैं? पहला कदम यह पता लगाना है कि आपकी जानकारी डार्क वेब पर बेची जा रही है या नहीं। आप वेबसाइटों का उपयोग कर सकते हैं जैसे haveibeenpwned और इंटेलिजेंसएक्स यह देखने के लिए कि क्या आपका ईमेल चोरी हुए डेटा का हिस्सा था। सदस्यता लेना भी एक अच्छा विचार है पहचान की चोरी संरक्षण सेवाओं.

यदि आप डेटा उल्लंघन के शिकार हुए हैं, तो आप ले सकते हैं ये कदम प्रभाव को कम करने के लिए: क्रेडिट रिपोर्टिंग एजेंसियों और अन्य संगठनों को सूचित करें जो आपके बारे में डेटा एकत्र करते हैं, जैसे कि आपका स्वास्थ्य देखभाल प्रदाता, बीमा कंपनी, बैंक और क्रेडिट कार्ड कंपनियां, और आपके खातों के पासवर्ड बदलें। आप प्राप्त करने के लिए संघीय व्यापार आयोग को घटना की रिपोर्ट भी कर सकते हैं अनुरूप योजना घटना से उबरने के लिए।

के बारे में लेखक

रवि सेन, सूचना और संचालन प्रबंधन के एसोसिएट प्रोफेसर, टेक्सास ए एंड एम विश्वविद्यालय

इस लेख से पुन: प्रकाशित किया गया है वार्तालाप क्रिएटिव कॉमन्स लाइसेंस के तहत। को पढ़िए मूल लेख.