फ़्रांस के डेटा उल्लंघन के आलोक में सर्वोत्तम सुरक्षा प्रथाओं का पालन कैसे करें

कर्मचारी ईमेल पते के अपहरण के बाद, 19 मार्च, 17 को फ्रांसीसी राष्ट्रीय स्वास्थ्य बीमा पोर्टल, "अमेलिप्रो" से संबंधित 2022 कर्मचारी खाते हैक कर लिए गए। लगभग 510,000 मरीजों का डेटा, जिसमें नाम, जन्मतिथि, सामाजिक सुरक्षा नंबर और अन्य व्यक्तिगत जानकारी शामिल है , घटना के परिणामस्वरूप चोरी हो गया था।

हैकरों ने संभवतः स्पीयर-फ़िशिंग प्रयास के माध्यम से सबसे पहले स्वास्थ्य कर्मियों के ईमेल खातों में घुसपैठ करके ऐसी संवेदनशील पहचान संबंधी जानकारी प्राप्त की। स्पीयर एक प्रकार का सोशल इंजीनियरिंग हमला है जिसमें हमलावर मानवीय भूल का फायदा उठाकर लोगों से वो काम करवाते हैं जो उन्हें नहीं करना चाहिए।

हैकर्स स्पेशलाइज्ड का इस्तेमाल कर किसी खास फर्म को निशाना बनाते हैं फ़िशिंग संचार, जैसे ईमेल या यूआरएल जो कर्मियों को धोखा देने के लिए ज्ञात साइटों की तरह दिखाई देते हैं। फिर श्रमिकों को यह विश्वास दिलाकर कि वे किसी निजी कार्य स्थल तक पहुंच रहे हैं या किसी सहकर्मी के ईमेल का जवाब दे रहे हैं, अपनी व्यक्तिगत साख दर्ज करने के लिए धोखा दिया जाता है।

इस मामले की सबसे आश्चर्यजनक विशेषता यह प्रतीत होती है कि हैकर्स को अपने सिस्टम तक पहुंच प्राप्त करने के लिए एमेलिप्रो की सुरक्षा से आगे निकलने की भी आवश्यकता नहीं थी। हैकर्स निजी बीमा साइट तक पहुंचने और स्पीयर-फ़िशिंग के माध्यम से कर्मचारियों के खाते के पासवर्ड प्राप्त करने के बाद चोरी की गई साख के साथ प्रवेश करके संवेदनशील जानकारी प्राप्त करने में सक्षम थे।

पोर्टल तक पहुंच प्राप्त करने के बाद, धोखेबाजों द्वारा रोगी डेटा इकट्ठा करने के लिए क्रॉलिंग और स्क्रैपिंग जैसे तरीकों को नियोजित करने की संभावना है। क्रॉलिंग एक पेज से दूसरे पेज पर जाकर और यूआरएल मेटाडेटा को मैप करके वेबसाइटों को स्कैन करने की एक विधि है। इसके बाद हैकर्स ने स्क्रैपिंग के माध्यम से जानकारी को कॉपी और पुनः प्राप्त कर लिया, और कुछ ही घंटों में हजारों व्यक्तिगत जानकारी तक पहुंच प्राप्त कर ली।