అనధికార యాక్సెస్ కోసం చూస్తున్నారు

లుక్‌అవుట్ వంటి కార్పొరేట్ పేరుతో, ఇది – బాగా – లుక్ అవుట్‌కి చెల్లిస్తుంది. దురదృష్టవశాత్తు, ప్రకారం FTC యొక్క ఫిర్యాదు Lookout Services, Inc.కి వ్యతిరేకంగా, కంపెనీ యొక్క సందేహాస్పదమైన భద్రతా పద్ధతులు లుకౌట్ యొక్క కస్టమర్‌లలో ఒకరి ఉద్యోగికి వేలాది మంది వ్యక్తుల సోషల్ సెక్యూరిటీ నంబర్‌లతో సహా సున్నితమైన సమాచారాన్ని యాక్సెస్ చేయడానికి తలుపులు తెరిచాయి.

Lookout I-9 సొల్యూషన్ అనే వెబ్ ఆధారిత ఉత్పత్తిని విక్రయిస్తుంది. ఇమ్మిగ్రేషన్ సర్వీసెస్ ఫారమ్ I-9 నుండి దాని పేరును తీసుకోవడం – చాలా చిన్న వ్యాపారాలకు సుపరిచితమైన వ్రాతపని – ఉత్పత్తి యజమానులు సమాఖ్య చట్టం ప్రకారం వారి బాధ్యతలను పాటించడంలో సహాయపడటానికి రూపొందించబడింది. I-9 సొల్యూషన్ పేర్లు, చిరునామాలు, పుట్టిన తేదీలు, సోషల్ సెక్యూరిటీ నంబర్‌లు, పాస్‌పోర్ట్ నంబర్‌లు, ఏలియన్ రిజిస్ట్రేషన్ నంబర్‌లు, డ్రైవింగ్ లైసెన్స్ నంబర్‌లు మరియు సైనిక ID నంబర్‌లతో సహా దాని కస్టమర్ల ఉద్యోగుల నుండి లేదా వారి గురించిన సమాచారాన్ని సేకరించి నిల్వ చేస్తుంది. భద్రత గురించిన ఆందోళనలను అంచనా వేస్తూ, లుక్‌అవుట్ కాబోయే కస్టమర్‌లకు “డేటా వెబ్ ద్వారా నమోదు చేయబడినప్పటికీ, మీ డేటా ఎన్‌కోడ్ చేయబడుతుంది మరియు లుకౌట్ సర్వీసెస్ సర్వర్‌కు సురక్షిత లైన్‌ల ద్వారా ప్రసారం చేయబడుతుంది. ఈ FTP ఇంటర్‌ఫేస్ మీ డేటాను అంతరాయం నుండి రక్షిస్తుంది, అలాగే, అనధికారిక యాక్సెస్ నుండి డేటాను సురక్షితంగా ఉంచుతుంది. అదనంగా, “మా సర్వర్‌లు అధునాతన సాఫ్ట్‌వేర్ సాధనాలను ఉపయోగించి 24 x 7 ప్రాతిపదికన ప్రయత్నించిన నెట్‌వర్క్ దాడులను నిరంతరం పర్యవేక్షిస్తున్నాయి” అని కంపెనీ పేర్కొంది.

ఇక్కడ “లుక్ అవుట్” భాగం అమలులోకి వస్తుంది. FTC యొక్క ఫిర్యాదు ప్రకారం, I-9 సొల్యూషన్‌ను ఉపయోగించడం గురించి వెబ్‌నార్ సమయంలో, లుకౌట్ వ్యాపార కస్టమర్ యొక్క ఉద్యోగి సురక్షిత వెబ్ పేజీ కోసం URLని పొందారు. ఆమె తర్వాత ఆ URLని తన బ్రౌజర్‌లో టైప్ చేసి I-9 డేటాబేస్‌లోని కొంత భాగానికి అనధికారిక యాక్సెస్‌ను పొందింది. బ్రౌజర్‌లో ఖచ్చితమైన URLని టైప్ చేయడం ద్వారా, ఆమె లుకౌట్ లాగిన్ పేజీని దాటేసింది మరియు చెల్లుబాటు అయ్యే వినియోగదారు ఆధారాలను అందించమని ఎప్పుడూ ప్రాంప్ట్ చేయలేదు. URLకి అతి తక్కువ సులభంగా ఊహించగల మార్పులతో, ఆమె మొత్తం డేటాబేస్‌కు యాక్సెస్‌ని పొందింది.

రెండు నెలల తర్వాత, ఆమె I-9 సొల్యూషన్ కోసం పబ్లిక్-ఫేసింగ్ లాగిన్ వెబ్ పేజీకి వెళ్లింది, అక్కడ ఆమె యూజర్ ID “పరీక్ష” మరియు పాస్‌వర్డ్ “పరీక్ష”తో సహా అనేక “అనుమానిత” వినియోగదారు IDలు మరియు పాస్‌వర్డ్‌లను ప్రయత్నించింది. లుకౌట్ కస్టమర్‌లలో ఒకరికి ఇది చెల్లుబాటు అయ్యే క్రెడెన్షియల్ అయినందున, యూజర్ ID మరియు పాస్‌వర్డ్‌గా “పరీక్ష” అని నమోదు చేయడం వలన ఆ లుకౌట్ కస్టమర్ ద్వారా ఉద్యోగం చేస్తున్న 11,000 కంటే ఎక్కువ మంది వ్యక్తుల వ్యక్తిగత సమాచారానికి ఆమె యాక్సెస్ ఇచ్చింది. ఆ తర్వాత, URLకు అతి తక్కువ సులభంగా ఊహించగలిగే మార్పులు చేయడం ద్వారా, ఆమె మళ్లీ మొత్తం డేటాబేస్‌ను యాక్సెస్ చేయగలిగింది, ఇందులో 37,000 కంటే ఎక్కువ మంది వ్యక్తుల వ్యక్తిగత సమాచారం ఉంది.

FTC యొక్క ఫిర్యాదు లుకౌట్‌తో సహా అనేక సందేహాస్పద అభ్యాసాలను జాబితా చేస్తుంది:

• పాస్‌వర్డ్ మరియు వినియోగదారు ID వంటి సాధారణ నిఘంటువు పదాలతో సహా సులభంగా ఊహించగల వినియోగదారు IDలు మరియు పాస్‌వర్డ్‌లను అనుమతించడం లేదా రెండింటికీ ఒకే పదాన్ని ఉపయోగించడం;

• స్పష్టమైన వచనంలో నిల్వ చేయబడిన పాస్‌వర్డ్‌లు;

• వినియోగదారు ఆధారాలను కాలానుగుణంగా మార్పులు చేయడంలో విఫలమైంది మరియు నిర్దిష్ట సంఖ్యలో విఫలమైన లాగిన్ ప్రయత్నాల తర్వాత వినియోగదారు ఆధారాలను సస్పెండ్ చేయలేదు;

• వినియోగదారులను సులభంగా నమూనాలను అంచనా వేయడానికి మరియు సురక్షిత వెబ్ పేజీలను యాక్సెస్ చేయడానికి URLని మార్చడానికి అనుమతించే ఊహాజనిత వనరుల స్థానం వంటి విస్తృతంగా తెలిసిన భద్రతా లోపాలకు Lookout వెబ్ యాప్ యొక్క దుర్బలత్వాన్ని తగినంతగా పరిష్కరించలేదు;

• వినియోగదారులు నిర్దిష్ట URLలో టైప్ చేసినప్పుడు ప్రమాణీకరణ విధానాలను దాటవేయడానికి అనుమతించారు; మరియు

• కంప్యూటర్ నెట్‌వర్క్‌లకు అనధికారిక యాక్సెస్‌ను నిరోధించడానికి మరియు గుర్తించడానికి తగిన చర్యలను అమలు చేయడంలో విఫలమైంది.

FTC ఎల్లప్పుడూ చెప్పినట్లుగా, డేటా భద్రత అనేది “అందరికీ ఒకే పరిమాణం సరిపోయే” ప్రతిపాదన కాదు, కానీ ఈ లోపాలను ఒకచోట చేర్చి, అవి “లుక్ అవుట్” అని స్పెల్లింగ్ చేస్తాయి, ఫలితంగా FTC చట్ట అమలు చర్య జరుగుతుంది. కేసును పరిష్కరించడానికి, 20 సంవత్సరాల పాటు ప్రతి సంవత్సరం స్వతంత్ర, మూడవ పక్ష భద్రతా తనిఖీలతో సహా సమగ్ర సమాచార భద్రతా కార్యక్రమాన్ని అమలు చేయడానికి కంపెనీ అంగీకరించింది.

సంబంధిత గమనికపై, FTC మరియు డేటా భద్రతపై పెద్ద చిత్ర దృక్పథంపై ఆసక్తి ఉందా? బ్యూరో ఆఫ్ కన్స్యూమర్ ప్రొటెక్షన్ డైరెక్టర్ డేవిడ్ చదవండి వ్లాడెక్ యొక్క ఇటీవలి సాక్ష్యం వాణిజ్యం, తయారీ మరియు వాణిజ్యంపై శక్తి మరియు వాణిజ్య సబ్‌కమిటీపై హౌస్ కమిటీ ముందు.

_______________

మంచి సలహాను అందించడం అనేది మార్కెటింగ్ నిపుణులు, వారికి ప్రాతినిధ్యం వహించే న్యాయవాదులు మరియు తల్లుల వ్యాపారంలో స్టాక్. ఈ మదర్స్ డే, FTC మీరు అమ్మను అందించడం ద్వారా తిరిగి పొందవచ్చని చెబుతోంది వినియోగదారు చిట్కాలు ఆమె ఆసక్తులకు అనుకూలీకరించబడింది. ఆమె టెక్-అవగాహన ఉన్నదా, గ్లోబ్-ట్రాటింగ్ లేదా బ్లింగ్డ్ ఆమె గౌరవార్థం ఈ ఆన్‌లైన్ గేమ్‌ను భాగస్వామ్యం చేయండి — ftc.gov నుండి ప్రేమతో.

ఇక్కడ మరొక సలహా ఉంది: పువ్వులు మరియు మిఠాయిలు కూడా పంపండి.