एसीटी फाइबरनेट यूजर्स का पता, ईमेल सिक्योरिटी फ्लो द्वारा प्रकट किया जा सकता था |

सिक्योरिटी रिसर्चर के मुताबिक एसीटी फाइबरनेट यूजर्स के घर का पता उनके फोन नंबर वाले किसी के भी सामने आने का खतरा था – और एक बार ऐसा करने पर उनकी बिलिंग डेट और राशि भी एक्सेस की जा सकती थी। सुरक्षा शोधकर्ता करण सैनी ने गैजेट्स 360 को बताया, “अगर आपके पास एक सक्रिय एसी कनेक्शन है, तो मैं आपके घर के पते को क्वेरी कर सकता हूं। सुरक्षा दोषों की खोज करने पर, सैनी ने एसीटी फाइबरनेट से संपर्क किया, जिसने समस्या के समाधान के लिए कदम उठाए हैं।”

गैजेट्स 360 से बात करते हुए ए अधिनियम फाइबरनेट प्रवक्ता ने कहा कि यह मुद्दा एक था जो कंपनी के नवीनतम अपडेट के दौरान उभरा था, और यह रोलआउट के दौरान ही पता चला था, और जल्दी से हल हो गया था। प्रवक्ता ने कहा, “ग्राहक सुरक्षा हमारी नंबर एक प्राथमिकता है, और हम हर तिमाही में सुरक्षा ऑडिट करते हैं और एथिकल हैकर्स के साथ काम करते हैं।” पिछले महीने, कंपनी अपना एसीटी शील्ड लॉन्च किया प्रवक्ता ने कहा कि वायरस सुरक्षा ऐप, और ग्राहक सुरक्षा सुनिश्चित करने के लिए कदम उठाए हैं।

सैनी के निष्कर्षों की पुष्टि करते हुए, प्रवक्ता ने कहा कि एसीटी ने एक ही समय में इस मुद्दे की खोज की थी, और यह इस तरह से इसे जल्दी से ठीक करने में सक्षम था। हालांकि यह सराहनीय है कि एसीटी ने तेजी से कार्रवाई की, इसने किसी भी ग्राहक को सूचित नहीं करने के लिए चुना है – क्योंकि जानकारी का कोई उल्लंघन नहीं था, प्रवक्ता ने दावा किया। प्रवक्ता ने कहा, “अगर सूचना का कोई उल्लंघन होता है, तो हम उपयोगकर्ताओं को सूचित करेंगे, हालांकि इस मामले में ऐसा नहीं हुआ है।” उन्होंने कहा, “हम निश्चित रूप से सुरक्षा को बहुत गंभीरता से लेते हैं, और अगले 30 से 45 दिनों में बग बाउंटी प्रोग्राम को शुरू करने की प्रक्रिया में हैं।”

अधिनियम तीसरा है सबसे बड़ी भारतीय दूरसंचार विनियामक प्राधिकरण के डेटा के अनुसार भारत में वायर्ड ब्रॉडबैंड प्रदाता (ट्राई)। निजी खिलाड़ियों के बीच, यह केवल पीछे है एयरटेल, और विशेष रूप से दक्षिण भारत में, यह सबसे अधिक दिखाई देने वाली नेटवर्क कंपनियों में से एक है।

“एसीटी फाइबरनेट मोबाइल एप्लिकेशन का उपयोग करते समय, मैं एक गंभीर सुरक्षा और गोपनीयता दोष के कारण आया, जो एक दुर्भावनापूर्ण अभिनेता को पूर्ण नाम, घर और काम के फोन नंबर, खाता संख्या, आंतरिक आईडी, ईमेल और घर का पता, कनेक्टिविटी की स्थिति का पता लगाने की अनुमति दे सकता है। साथ ही साथ एक एसी ग्राहक के खाते से जुड़ी अन्य जानकारी, ”सैनी ने समझाया।

इसे अंजाम देने के लिए, हमलावर को केवल एक पीड़ित का फोन नंबर जानना होगा। एसीटी प्रवक्ता ने कहा कि यह सार्वजनिक रूप से ज्ञात जानकारी नहीं है; हालाँकि, कई रिपोर्ट दिखाओ, हमारे फोन नंबर व्यापक रूप से समझौता किए गए हैं। यह जानकारी एक HTTP POST अनुरोध के माध्यम से कमजोर अंत बिंदुओं में से एक को भेजी जाएगी (सर्वर पर डेटा भेजने के लिए एक POST अनुरोध का उपयोग किया जाता है – उदाहरण के लिए, आपके द्वारा भरे गए फॉर्म की सामग्री, इसलिए यह संबंधित को वापस भेज सकता है। उपयोगकर्ता को जानकारी) – जो ग्राहक का पूरा नाम और खाता संख्या लौटाता है।

उपयोगकर्ता के पंजीकृत मोबाइल नंबर के साथ एक हमलावर अपना खाता नंबर हासिल कर सकता है

एक बार खाता संख्या पुनर्प्राप्त हो जाने के बाद, हमलावर तब इस जानकारी के साथ एसीटी वेबसाइट पर दूसरे पेज पर दूसरा अनुरोध भेज सकता है, और अगली प्रतिक्रिया से अधिक संवेदनशील जानकारी सामने आएगी, जिसमें पूर्ण घर का पता लाइन, वैकल्पिक संपर्क नंबर, ईमेल शामिल है आईडी, और कनेक्टिविटी की स्थिति। यह संभव हो गया है क्योंकि दोनों पृष्ठ पर कोई प्राधिकरण जांच नहीं थी।

खाता संख्या प्राप्त करने के बाद, अन्य उपयोगकर्ता विवरण पुनः प्राप्त किया जा सकता है

यह एक सामान्य मुद्दा है, नोट्स Moesif के सह-संस्थापक डेरिक गिलिंग, लिख रहे हैं कंपनी ब्लॉग पर। Moesif ग्राहकों में डेलॉइट शामिल हैं, ऑयो, यूपीएस, और डीएचएल। ध्यान दिया, “चुनौतियों में से एक अच्छी तरह से सोचा प्रमाणीकरण और प्राधिकरण रणनीति है। प्रमाणीकरण में यह सत्यापित करना शामिल है कि कौन व्यक्ति कहता है कि वह / वह है। प्रमाणीकरण यह नहीं कहता है कि यह व्यक्ति किसी विशेष संसाधन तक पहुंच सकता है। प्राधिकरण में उन संसाधनों की जाँच करना शामिल है जिन्हें उपयोगकर्ता परिभाषित भूमिकाओं या दावों के माध्यम से एक्सेस या संशोधित करने के लिए अधिकृत है। उदाहरण के लिए, प्रमाणित उपयोगकर्ता डेटाबेस तक पढ़ने के लिए अधिकृत है लेकिन इसे संशोधित करने की अनुमति नहीं है। ”

सैनी को जो मिला, उसे सत्यापित करने के लिए गैजेट्स 360 ने इस प्रक्रिया का विवरण देखा। उन्होंने पुष्टि की कि, ACT ने तुरंत प्रतिक्रिया दी और समस्या का समाधान किया, और इसलिए ग्राहकों को अब इस मुद्दे पर चिंता करने की आवश्यकता नहीं है।

इस साल में यह दूसरी बार है जब अधिनियम किया गया है मिल गया सुरक्षा के मुद्दे। इस साल जनवरी में, यह बताया गया था कि उन राउटरों को प्रभावित करने वाला एक सुरक्षा मुद्दा था जिसे कंपनी ने अपने ग्राहकों के घरों में तैनात किया था।

यह मुद्दा, जो सैनी द्वारा भी पाया गया था, का मतलब था कि एसीटी-जारी किए गए राउटर के लिए सुरक्षा सेटिंग्स में एक दोष उन्हें खुले इंटरनेट पर उजागर कर सकता है।

उन्होंने पाया था कि कंपनी द्वारा वितरित राउटर डिफ़ॉल्ट रूप से राउटर को दूरस्थ कनेक्शन की अनुमति देते हुए स्थापित किए गए थे, और यदि ग्राहक मैन्युअल रूप से डिवाइस पासवर्ड नहीं बदलते हैं, तो एक हमलावर राउटर के प्रबंधन पोर्टल तक पहुंच प्राप्त कर सकता है, जिस बिंदु पर वे आपके इंटरनेट के उपयोग पर रोक लगा सकता है, और इंटरनेट उपयोगकर्ता नाम और पासवर्ड चुरा सकता है।

रिपोर्ट प्रकाशित होने के बाद, ACT फाइबरनेट ने अपने उपयोगकर्ताओं की सुरक्षा और सुरक्षा अंतर को हल करने के लिए कदम उठाए थे। कंपनी ने उस समय प्रभावित ग्राहकों की सहायता के लिए ग्राहक के आउटरीच का दौर भी शुरू किया।

क्या वनप्लस 8 सीरीज़ भारत में iPhone SE (2020), सैमसंग गैलेक्सी S20 ले पाएगी? हमने इस पर चर्चा की कक्षा का, हमारे साप्ताहिक प्रौद्योगिकी पॉडकास्ट, जिसे आप के माध्यम से सदस्यता ले सकते हैं Apple पॉडकास्ट या आरएसएस, एपिसोड डाउनलोड करें, या बस नीचे दिए गए प्ले बटन को हिट करें।