سیکیورٹی واچ: کارپوریشن بنائیں ، صارفین کو نہیں ، ڈیٹا کی خلاف ورزی کا شکار ہیں زیادہ سے زیادہ ایڈی

29 مارچ کو ، ارل انٹرپرائزز نے اعلان کیا کہ اس کے چین کے ریستوراں آنے والے زائرین کے کریڈٹ کارڈ کی معلومات چوری ہوسکتی ہے۔ ہمیشہ کی طرح جب اس قسم کا واقع ہوتا ہے تو ، مجھ سے صارفین کے لئے کچھ مشورے جمع کرنے کو کہا گیا تھا کہ وہ اپنی حفاظت کے ل do کیا کرسکتے ہیں۔ برسوں کی ایسی ہی کہانیوں سے یہ ایک اچھ .ا موضوع ہے ، لیکن اس بار اس کا فرق محسوس ہوا۔ یہ جزوی طور پر حملے کی انوکھی نوعیت کی وجہ سے ہے ، لیکن اس کی وجہ یہ بھی ہے کہ صارفین پر گندگی کو صاف کرنے کی ذمہ داری ہمارے کام نہیں کررہی ہے۔ اب ان کارپوریشنوں پر یہ ذمہ داری عائد کی گئی ہے کہ اعداد و شمار کو سمجھوتہ کرنے کی اجازت دی ہے۔

خلاف ورزی کی طرف

اگر آپ نے مخصوص بوکا دی بپو ، چکن گائے! ، سینڈوچ ، مکسولوجی ، سیارہ ہالی ووڈ ، یا ٹیکلا تکیریہ کے ارل پر کھایا ہے تو ، آپ کو آپ کے کریڈٹ یا ڈیبٹ کارڈ کی معلومات چوری ہوسکتی ہے۔ ارل انٹرپرائزز کے مطابق ، اس میں دھوکہ دہی کے ل to ضروری ہر چیز شامل ہوسکتی ہے: کارڈ نمبر ، میعاد ختم ہونے کی تاریخیں ، اور کچھ کارڈ ہولڈر کے نام۔ متاثرہ افراد کی تعداد 20 لاکھ کے قریب بتائی جاتی ہے۔

اس خاص خلاف ورزی کے بارے میں ایک دلچسپ حقیقت یہ ہے کہ یہ خلاف ورزی نہیں تھی۔ اس کے بجائے ، ہیکرز مختلف ریسٹورنٹس میں دور دراز سے پوائنٹ آف سیل یا POS تک رسائی حاصل کرنے میں کامیاب ہوگئے (ہاں ، یہ اصلی مخفف ہے) اور میلویئر انسٹال کرنے میں کامیاب ہوگئے جن سے صارفین کے ڈیٹا کو ختم کردیا جاتا ہے۔ اس معلومات کو اکٹھا کرکے بلیک مارکیٹ کی ویب سائٹوں پر فروخت کیا گیا تھا۔

محفوظ رہنے کے لئے آپ کیا کر سکتے ہیں؟

POS مشینوں پر میلویئر کے بارے میں تھوڑا سا ، ایک طرف ، ارل انٹرپرائزز کی خلاف ورزی / حملہ کافی عام ہے۔ جیسا کہ میں یہ مشورہ دوں گا کہ صارفین محفوظ رہنے کے ل (کیا کرسکتے ہیں (جو آپ ہیں)۔

پہلے ، میں عام طور پر کہتا ہوں ، کریڈٹ کارڈ استعمال کریں نہ کہ ڈیبٹ کارڈ۔ کریڈٹ کارڈ کے لین دین آسانی سے تبدیل ہوجاتے ہیں اور کریڈٹ کارڈ کمپنیاں آپ سے قبل دھوکہ دہی کو روکنے میں بہت اچھی ہوتی ہیں۔ اہم بات یہ ہے کہ ، آپ جعلی کریڈٹ کارڈ کے الزامات کے ذمہ دار نہیں ہیں۔ ڈیبٹ کارڈ کا استعمال بنیادی طور پر نقد کا لین دین ہوتا ہے۔ آپ کو ان کے لئے معاوضہ مل سکتا ہے ، لیکن اس میں بعض اوقات زیادہ وقت لگتا ہے اور انتہائی خراب صورتحال میں بینک یا ایف ڈی آئی سی کے ساتھ کچھ گھومنے کا سبب بن سکتا ہے۔

ایک بار جب یہ کام ختم ہوجاتا ہے تو ، میں میگسٹریپ لین دین میں دشواریوں میں پڑ جاتا ہوں۔ مجسٹریپس بیوقوف بہت آسان ہیں۔ آپ USB میگسٹریپ ریڈر کو جوڑ سکتے ہیں ، کارڈ چلا سکتے ہیں ، اور کمپیوٹر آپ کے لئے ٹیکسٹ فائل میں معلومات داخل کرے گا۔ ایک چپ کارڈ (EMV کارڈ) ایک مختلف عمل کا استعمال کرتا ہے جو اس سے کہیں زیادہ محفوظ اور اس کو روکنا زیادہ مشکل ہوتا ہے۔

اس سے قدرتی بحث ہوتی ہے کہ اس معلومات کو عام طور پر چھوٹے ڈیوائسز کے ذریعہ چوری کیا جاتا ہے جسے سکمرز یا چمچ کہتے ہیں۔ مجھے ان کی جگہ کے بارے میں پوری کہانی ہے ، لہذا آپ اسے صرف پڑھ سکتے ہیں۔ خلاصہ یہ ہے کہ POS مشینوں کے استعمال سے پہلے ان کا معائنہ کرنا ایک اچھا خیال ہے ، ہر تناظر میں آپ ان کا سامنا کرتے ہیں لیکن خاص طور پر گیس پمپ اور آؤٹ ڈور اے ٹی ایم میں۔ آپ کو ایک کلک محفوظ کیا (لیکن ویسے بھی کلک کریں ، اس سے مجھے معاوضہ ملنے میں مدد ملتی ہے)۔

اس کے بعد میں ادائیگی کے لئے ہائی ٹیک حل کے بارے میں ایک پوری بات شروع کروں گا۔ اینڈروئیڈ پے ، ایپل پے ، اور سام سنگ پے ایک ٹوکنائزیشن سسٹم کا استعمال کرتے ہیں جو آپ کے کریڈٹ کارڈ کی اصل معلومات کو کبھی ظاہر نہیں کرتا ہے۔ ممکن ہے کہ ان کو استعمال کرنا زیادہ محفوظ سمجھا جا since کیونکہ معلومات وائرلیس طور پر منتقل ہوتی ہیں ، لیکن حقیقت میں یہ بہت اچھی بات ہے۔

تب میں کبھی کبھی اس پر تھوڑا سا معاملہ کروں گا کہ آپ مکھی پر پری پیڈ کریڈٹ کارڈز اور بوگس ای میل پتے بنانے کے لئے ابین کلنک کا استعمال کس طرح کرسکتے ہیں۔ شاید میں اس کا ذکر کروں گا کہ کس طرح نقد اور پری پیڈ کریڈٹ کارڈ کاروبار کرنے کے سب سے محفوظ اور رازداری سے آگاہ ہیں۔ میں یقینی طور پر شناختی چوری سے متعلق تحفظ کی خدمات کی توثیق نہیں کروں گا کیوں کہ مجھے یقین نہیں ہے کہ وہ اصل میں کام کرتے ہیں ، اور میں کریڈٹ مانیٹرنگ کے بارے میں زیادہ کچھ نہیں کہوں گا کیوں کہ مجھے نہیں لگتا کہ آپ کو اپنی مالی معلومات جو آپ کو مرتب کی جارہی ہیں اس کے لئے ادائیگی کرنی چاہئے۔ آپ کی رضامندی کے بغیر

میں نے کبھی بھی بٹ کوائن کی توثیق نہیں کی کیونکہ ان لوگوں کو سنجیدگی سے ڈراؤ۔

اس سے کوئی فرق نہیں پڑتا کہ آپ کتنے محتاط ہیں

ہم PCMag پر ہر وقت اس قسم کی کہانیاں لکھتے ہیں ، اور وہ چھوٹی چھوٹی چیزوں کی وضاحت کرنے میں کارآمد ہیں جن سے لوگوں کی زندگی میں فرق پڑ سکتا ہے۔ لوگوں کو ادائیگی کے بہتر طریقے جاننے چاہئیں ، اور انہیں پاس ورڈ مینیجرز اور 2 ایف اے استعمال کرنے کا مشورہ دیا جائے ، یا کم از کم جان لیں کہ یہ چیزیں کیا ہیں تاکہ وہ اپنی زندگی میں باخبر انتخاب کرسکیں۔ لیکن ارل انٹرپرائزز کی خلاف ورزی واقعی مجھے مل گئی ، کیوں کہ واقعتا themselves خود کو بچانے کے لئے صارفین کے پاس کچھ بھی نہیں ہوسکتا تھا۔

ارل انٹرپرائزز حملے میں ، برے لوگوں کو پی او ایس مشینوں تک دور دراز تک رسائی حاصل تھی۔ اس کا مطلب یہ ہے کہ اس بات سے کوئی فرق نہیں پڑتا ہے کہ کسٹمر نے کارڈ ریڈروں سے کتنی تفتیش کی ، انہیں کوئی ٹیل ٹیل اسکیمر نہیں مل پائے گا کیوں کہ خطرہ مشین کے اندر ہی تھا۔ مزید یہ کہ ، امریکی ریستوراں میں ، صارفین کو ہمیشہ اختیار نہیں ملتا کہ وہ POS ٹرمینل میں مشغول ہوجائیں۔ ہم اپنی ادائیگی سرور کے حوالے کرتے ہیں ، جو کارڈ چلاتا ہے اور رسید لے کر لوٹتا ہے۔ اس کا مطلب ہے کہ صارفین نئے اور زیادہ محفوظ موبائل ڈیوائس کی ادائیگی کے نظام کو استعمال نہیں کرسکتے ہیں۔ اس بات کی بھی کوئی گارنٹی نہیں ہے کہ کوئی بھی بیوپاری EMV چپس یا موبائل کی ادائیگی کی حمایت کرتا ہے ، یا عملے کو اس کے استعمال کے طریقے کی تربیت دی جائے گی۔

یہ ذکر کرنے کی ضرورت نہیں ہے کہ اطلاع دی گئی ہے کہ ارل انٹرپرائزز کو اس خلاف ورزی کا جواب دینے میں 10 ماہ لگے۔ اور نہ ہی چونکہ یہ معلومات بڑے پیمانے پر فروخت کی گئی ، جو اس قسم کے کاروائیوں کے لئے معیاری ہے ، متاثرین کو آنے والے سالوں میں دوسرے اور تیسرے نمبر کے نتائج کا سامنا کرنا پڑ سکتا ہے۔

اس مشورے پر مجھے جو بھی مشورے دینا ہوں گے ان میں صرف ایک ہی آپشن باقی ہے: نقد یا پری پیڈ کارڈ استعمال کریں۔ ہمارے آقا 2019 in of of کے سال کی حالت یہ ایک مضحکہ خیز حالت ہے جب میں ڈرون خریدنے کے لئے ٹیلیفون استعمال کرسکتا ہوں اور گھر پہنچنے سے پہلے اپنے گھر پہنچا دیتا ہوں ، ویڈیو تھائی لینڈ میں ایک دوست کو فون کرتے ہوئے۔

سب سے پہلے بڑے پیمانے پر ڈیٹا کی خلاف ورزی جس سے ایسا لگتا تھا کہ یہ چیزیں تبدیل کر سکتا ہے وہ 2013 میں تھا جب 110 ملین ٹارگٹ شاپرز کی طرح سے معلوم ہوا کہ ان کی نجی معلومات پر کوئی خاص بات ہے۔ ارل انٹرپرائزز کے حملے کی طرح ، وہاں بھی بہت کم تھا کہ صارفین اپنی حفاظت کے ل. ممکنہ طور پر کر سکتے تھے۔ اس وقت ، یہ خدشہ تھا کہ صارف کی ردعمل کمپنی کو ڈوب سکتی ہے۔

ایسا نہیں ہوا ، اور یہ بعد میں آنے والی کسی بھی خلاف ورزی کی وجہ سے نہیں ہوا جس نے سرخیاں بنائیں۔ ہدف نے کامیابی حاصل کی اور کچھ نقد رقم ادا کردی ، لیکن یہ کاروبار میں قائم ہے۔ اس کے بعد آنے والی کسی بھی خلاف ورزی کے بھی تباہ کن نتائج برآمد نہیں ہوئے جس نے سرخیاں بنوائیں ، اور نہ ہی جب ہمیں کوئی کمپنی بری طرح برتاؤ کرتی ہے اور اپنے صارفین کی نجی معلومات سے بدسلوکی کرتی ہے (آپ کی طرف دیکھنا ، فیس بک !). درحقیقت ، صارفین کے ساتھ اس قسم کی دغا بازی اتنی عام سی بات ہوگئی ہے ، پی سی میگ کے لئے ارل انٹرپرائزز حملے کا احاطہ کرنا کوئی معنی نہیں رکھتا تھا۔ اس نے محض توجہ کی ضمانت نہیں دی۔

صارفین کی خود کی حفاظت کی کوئی رقم اس طرح کے دھوکہ دہی کو روکنے کے لئے نہیں ہے ، اور ظاہر ہے کہ سیکیورٹی کی خلاف ورزیوں پر کسی بھی طرح کی بری پریس کارپوریشن کو نقصان نہیں پہنچا رہی ہے جس کی وجہ سے وہ صارفین کی معلومات کی مناسب حفاظت کرسکیں۔ میرے ذہن میں ، یہ ایک آپشن چھوڑ دیتا ہے: ضابطہ۔

صارفین کے تحفظات صارفین کو تحفظ فراہم کرتے ہیں

• 2019 کے لئے بہترین پاس ورڈ مینیجر۔ 2019 کے لئے بہترین پاس ورڈ مینیجر
• 70M شاپرز تک ٹارگٹ ہیک متاثر ہوا
• دو فیکٹر توثیق: کس کے پاس ہے اور اسے کیسے مرتب کرنا ہے دو فیکٹر توثیق: کس کے پاس ہے اور اسے کیسے مرتب کرنا ہے۔

کارپوریشنوں کو حفاظتی خلاف ورزیوں کے ل legal قانونی اور مالی طور پر جوابدہ ہونا چاہئے جو صارفین کو متاثر کرتے ہیں۔ جرمانے ، تحقیقات اور عدالت کے حکم سے ہونے والے نتائج کی ضرورت ہے۔ وکلاء پر بہت زیادہ رقم خرچ کرنے کی ضرورت ہے۔ موجودہ ماڈل جہاں صارفین کو قانونی چارہ جوئی برداشت کرنے کے ل their اپنی رقم اور توانائی خرچ کرنا پڑتی ہے وہ غیر معقول ہے۔ جیسا کہ توانائی کی ضرورت ہوتی ہے اپنے آپ کو چھوٹی چھوٹی دھوکہ دہی سے بچانے کے ، یا بدتر شناخت کی چوری کے بعد اپنی زندگی کو ایک ساتھ رکھنے کی کوشش کرنا۔

کمپنیوں کو بھی خطرات کو سنجیدگی سے لینے اور حملوں کی منصوبہ بندی کرنے کی ضرورت ہے۔ انتہائی کم از کم صارفین کا ڈیٹا ذخیرہ کیا جانا چاہئے ، اور جو کچھ بھی ذخیرہ ہوتا ہے اس کو اینکرپٹ رکھنا چاہئے یا کسی اور طرح سے اسے بیکار پیش کرنے کے لئے رکھنا چاہئے اگر یہ چوری ہو گیا تھا۔ ادائیگی کے نظام کے تخلیق کاروں کو بھی خطرات کو سنجیدگی سے لینا شروع کرنے کی ضرورت ہے ، جس کے بارے میں مجھے یقین ہے کہ اگر وہ زیادہ محفوظ آلات کے لchan سوداگروں سے مطالبہ کرتے تو وہ کریں گے۔

ابھی کافی عرصے سے ، مجھے شبہ ہے کہ نجی معلومات کا سراسر حجم جو گذشتہ دہائی میں بے نقاب ہوا ہے اس کا مطلب ہے کہ ہر شخص کسی نہ کسی طرح تکلیف پہنچا ہے یا اس کو تکلیف پہنچائے گی۔ یہ قابل قبول نہیں ہوسکتا۔ اپنے لئے بولتے ہوئے ، میں اپنے 2019 کے دوسرے ڈیبٹ کارڈ پر ہوں ، کیونکہ پہلے دو میں ان کی تعداد میں سمجھوتہ ہوا تھا۔ یہ اپریل ہے۔