Bugungi kunda inson global tarmoqning ochiq maydonida bizning harakatlarimiz maxfiyligini ta’minlaydigan ko‘plab xizmatlarga ega. Biz VPN-lardan geografik izlarimizni qoplash, shifrlangan Proton Mail pochta qutilaridan elektron pochta xabarlarini jo‘natish va TOR dasturi yordamida ko‘rinmas bo‘lish uchun foydalanamiz. Biz hammani aldaganimizdan xursandmiz, ammo hozir biz go‘yo faqat o‘zimizni aldayotgandaymiz. Hozirgi “raqamli” dunyoda, hatto “ko‘rinmas” rejimda tarmoqdan foydalanayotgan mehmonning orqasida “sirtmoq” bor va u orqali, xuddi ertakdagidek, kiberdetektivlar boshlang‘ich nuqtaga kelishlari mumkin: odam tarmoqqa qayerdan ulandi va ungacha qayerda bo‘lgan. Firibgarlar o‘z maqsadlari uchun foydalanayotgan xaker ham xuddi shunday yo‘ldan borishi mumkin. Bu qanday bo‘lishi mumkin? Xo‘sh, VPN har doim ham barqaror ishlamaydi, Proton Mail egalari rasmiylarga ma’lumotlarni sizdirib yuborishadi va TOR siz uchun sezilmaydigan, ammo tajovuzkorlarning qo‘l keladigan juda ko‘p texnik zaifliklarga ega.
Hech kimga sir emaski, foydalanuvchilarning aksariyati, albatta, raqamli gigiena bilan o‘zlarini himoyalamaydilar: ular uchun bu foydasiz yoki juda murakkab ko‘rinadi yoki aksincha, ular o‘z izlarini to‘g‘ri yopganliklariga aminlar. Ammo bu siz o‘ylagandek emas.
Ushbu maqolada, ro‘yxatdan o‘tishning oddiy misolidan foydalanib, biz sizga raqamli iz qanday shakllanganligini, afsuski, nima uchun buning oldini olish mumkin emasligi va shaxsiy ma’lumotlardan turli xil onlayn xizmatlar, xavfsizlik tadqiqotchilari va, albatta, firibgarlar qanday foydalanilishini aytib beramiz.
Xavf hududida: ma’lumotlar qanday yig‘iladi
Shunday qilib, keling, yana bir bor takrorlaymiz: agar siz o‘zingizni boshqa birovning kuzatuv doirasidan tashqarida qolish uchun ko‘p harakat qilgan bo‘lsangiz, u holda biz sizni xafa qilishimizga to‘g‘ri keladi: siz allaqachon uning ichidasiz. Bu qanday sodir bo‘ldi? Ma’lumot to‘plash uchun ob’ektlarni tanlash mezonlari ko‘pincha shaxsga qaratilmagan bo‘ladi (agar bu maqsadli hujum bo‘lmasa, albatta) va shu bilan birga juda oddiy: hech bo‘lmaganda moliyaviy yoki axborot uchun manfaatdor bo‘lgan odam bilan bog‘lanish kifoya.
Qisqa qilib aytganda, agar siz o‘zingiz xakerga biron bir foyda keltira olmasangiz ham, baribir xavf ostida bo‘lishingiz mumkin. O‘zingiz o‘ylab ko‘ring. Aytaylik, hujum ma’lum bir kompaniyaga qaratilgan. Ammo bu kompaniyada ishlaydigan odamlar bor: kotib, buxgalter, tizim ma’muri – ularning barchasi korporativ kompyuterlardan foydalanadilar va ulardan odatda (hech kim tan olishni istamaydi) shaxsiy ijtimoiy tarmoqlariga kirishadi, shuningdek, ish bilan bog‘liq bo‘lmagan maqsadlarda har qanday saytlarga kirishadi. Agar hujumchilar yetarlicha kuchli bo‘lsa, ular uchun bu ishchilarning onlayn xatti-harakatlarini kuzatish qiyin bo‘lmaydi.
2022-yilda Rossiya kompaniyalarining 311ta maʼlumotlar bazasi ochiq taqdim etildi. Bir yil oldin ularning soni 61 edi
Forumda ro‘yxatdan o‘tganingizda, masalan, tog‘larda sayr qilish, mashhur onlayn-o‘yin yoki onlayn-kinoteatrda akkaunt yaratish yoki “marketplays”da biror narsaga buyurtma berishda, siz o‘zingiz haqingizda yetarlicha batafsil ma’lumot qoldirasiz. Biz buni sezmasakda, bu yetarlicha ko‘p ma’lumotlar:
- To‘liq ism-sharif
- Telefon
- Elektron pochta
- Nikneйm
- Bank kartasi raqamlari
- Yashash/ro‘yxatdan o‘tilgan manzil
- Login/parol (ko‘pincha ular turli akkauntlar uchun bir xil bo‘ladi!)
Biz uchun bo‘sh satrlari bo‘lgan barcha qalqib chiquvchi oynalar shunchalik tanish bo‘lib qolganki, ularni to‘ldirish allaqachon avtomatik bo‘lib qoldi. Shuningdek, biz ma’lumotlarimizni avtomatik ravishda kiritamiz, ular keyin qayerga ketishi haqida qayg‘urmaymiz.
|
Xizmat turi |
Telefon raqami | Elektron pochta | Nikneym | To‘lov ma’lumotlari | Harakatlar tarixi |
Tarmoq/qurilma haqida ma’lumotlar |
|
Ijtimoiy tarmoqlar |
√ | √ | √ | √ | √ | |
|
Marketpleys |
√ | √ | √ | √ | √ | |
|
Forum |
√ |
√ | √ |
√ |
||
|
Messenjer |
√ |
√ | √ | √ |
√ |
|
|
Qidiruv tizimi |
√ |
√ |
||||
| Transport | √ | √ | √ | √ |
√ |
Yuqorida foydalanuvchi turli xizmatlarda ro‘yxatdan o‘tish uchun o‘zi haqida qoldirishi kerak bo‘lgan minimal ma’lumotlar to‘plami keltirilgan.
Ushbu ma’lumotlar internet maydonlariga tavsiyalarni shaxsiylashtirish, ularni ma’lum bir foydalanuvchining manfaatlariga moslashtirish, unga ma’lum tovarlar va xizmatlar reklamalarini ko‘rsatish, uning eski (yoki yangi) do‘stlari, sinfdoshlari va guruhdoshlarini topish imkonini beradi.
Nafaqat xizmatlar
Albatta, sizning ma’lumotlaringiz bir nechta global ma’lumotlar bazasiga sizib chiqadi. Barchasining o‘z asoslari bor: korporatsiyalar, davlat, onlayn xizmatlar, huquqni muhofaza qilish idoralari va nihoyat, ochiq manba razvedkasi bilan shug‘ullanadigan tadqiqotchilar, shuningdek, firibgarlar. Ushbu ma’lumotlar bazalarini bepul to‘ldirish uchun siz darknetga tushib qolmasligingiz kerak (albatta, kodlar bilan bog‘liq ma’lum manipulyatsiyalarda).
Ammo ba’zida, ehtimol siz eshitgan “ma’lumotlar sizib chiqishi” bor. Faqat ular hech bo‘lmaganda “foydalanuvchilarni silkitib qo‘yishi” va ularning ma’lumotlari xavfsiz emasligini eslatishlari mumkin. Biroq, sizib chiqishning ham turlari mavjud. Masalan, 2023-yil yanvar oyida 200 milliondan ortiq Twitter foydalanuvchilarining maʼlumotlari sizib chiqqanligi haqidagi voqea aslida API’dagi (sayt yoki ilova interfeysidagi) zaiflikdan foydalanilgan skraping (avtomatlashtirilgan yigʻish) misolidir. Olingan ma’lumotlar bizga akkauntlar bilan bogʻliq elektron pochta yoki telefon raqamlari kabi aloqa ma’lumotlarini topishga imkon berdi.
Va haqiqiy sizib chiqishlar ham bo‘ladi. Bundan tashqari, ular foydalanuvchining elektron emas, haqiqiy manzillarini o‘z ichiga oladi (o‘zingiz eslang, qaysi xizmatlar yoki saytlarda nafaqat elektron pochta, balki jismoniy manzilni ham kiritish kerakligini). Shu tarzda, turli manbalardan olingan ma’lumotlar bir-birini to‘ldirib, yanada to‘liqroq tasvirni shakllantirishi mumkin.
Hech bir biznes sohasi sizib chiqishdan haqiqiy himoyalanmagan. Moliya, sug‘urta va IT kompaniyalari, yetkazib berish xizmatlari, mobil aloqa operatorlari, turli tovarlar onlayn-do‘konlari, onlayn kinoteatrlar, ko‘ngilochar va ta’lim portallari, qahvaxonalar, restoranlar, ijtimoiy tarmoqlar, shuningdek, energetika, sanoat, turizm, qurilish, transport va tibbiyot kompaniyalari – ularning barchasi kelajakdagi marketing kampaniyalarida foydalanish uchun bugungi kunda o‘z mijozlari haqida ma’lumot to‘plashga harakat qilmoqda, ammo ularning barchasi ushbu ma’lumotlarni birinchi darajali himoya qilish uchun ko‘p pul sarflashlari dargumon. Bu shuni anglatadiki, ularni o‘g‘irlashning imkoni bor, ba’zan esa oson ham.
Natijada, jinoyatchilar kompaniyalar va ularning mijozlariga og‘riqli zarba berish uchun ushbu ma’lumotlar to‘plamini jamoatchilikka bepul taqdim etishlari yoki sotishlari yoki telefon orqali firibgarlik kabi keyingi hujumlar uchun foydalanishlari mumkin.
Olamga ko‘rinmas aloqalar
Masalan, Telegram, Gmail va Instagramni nima bog‘lab turadi? Albatta, foydalanuvchilar. Har qanday shaxs bir nechta xizmatlardan foydalanadi va aynan shu xizmat turli platformalarning raqamli profillarini birlashtiradi. Mana, har bir xizmatda mavjud bo‘lgan ba’zi bandlar: taxallus, foydalanuvchining haqiqiy nomi, telefon raqami, elektron pochta, avatar.
Agar bir nechta xizmatlardagi bandlardan kamida bittasi mos kelsa, bu hisoblarni bir-biri bilan bog‘lash va ayni bir shaxs ekanligini tekshirish uchun asos bo‘ladi. Shunday qilib, ob’ektning raqamli profili turli xil ma’lumotlar bilan yangilanadi. Shunday bo‘ladiki, sizib chiqqan kompaniya ma’lumotlarida foydalanuvchi parollari haqidagi ma’lumotlar ham bo‘lishi mumkin; agar ular heshlangan bo‘lsa, omadingiz. Ammo bu ma’lumotlar bilan ham, ba’zida foydalanuvchi bir xil parollarga ega bo‘lsa, turli hisoblar o‘rtasida aloqa o‘rnatish mumkin.
Hesh (inglizchada “hash”) – manba ma’lumotlarini o‘zgartirish natijasida olingan ma’lumot identifikatori. Autentifikatsiya ma’lumotlarini tekshirish va parol buzilishining oldini olish uchun foydalaniladi.
Bunday usullar (juda qo‘pol tasvirlanganlari) xakerlarning o‘zlarini va boshqa hujumchilarni ushlash uchun keng qo‘llaniladi. Tadqiqotchilar hodisalarga o‘z vaqtida javob berish, hujumlarni aniqlash va kiber tahdid landshaftini baholash uchun ma’lumotlarni to‘playdi. Ammo firibgarlarning o‘zlari ochiq manbali razvedka (OSINT) usullaridan faol foydalanadilar, masalan, sizib chiqqan ma’lumotlar bazalarini sotib olishadi.
2023-yilning birinchi choragida sizib chiqish oqibatida butun dunyo boʻylab 6 million maʼlumotlar yozuvi fosh bo‘lgani aniqlandi
Xulosa qanday?
Hatto onlayn mavjudligingizni minimallashtirish ham sizni kompromatga uchrash xavfidan himoya qilmaydi. Ma’lumotlarning sizib chiqishi hatto eng ehtiyotkor foydalanuvchining shaxsiy ma’lumotlarini ham oshkor qilishi mumkin. Biroq, bu sizib chiqishsiz ham amalga oshishi mumkin, agar siz, albatta, jinoyatchilar uchun katta qiziqish uyg‘otsangiz. Shuning uchun, Internetda qanday ma’lumotlarni qoldirayotganingizga ehtiyot bo‘lishingiz kerak. Sizga rioya qilishingiz kerak bo‘lgan uchta asosiy qoidani keltiramiz.
- Turli xizmatlar guruhlari uchun turli elektron pochta manzillaridan foydalaning.
- Parollarni takrorlashdan saqlaning va ularni muntazam yangilang.
- Ish va shaxsiy maydonni ajrating: tajovuzkorlarning qo‘shimcha qiziqishlarini jalb qilmaslik, hamda kompaniya va hamkasblarni xavf ostiga qo‘ymaslik uchun akkauntlar infratuzilmasi kesishishidan saqlaning.
2023-yil avgust holatiga koʻra dunyodagi eng ko‘p uchraydigan 10 ta parol:
- password
- 123456
- 123456789
- guest
- qwerty
- 12345678
- 111111
- 12345
- col123456
- 123123
Noo‘rin joyda, nojo‘ya vaqtda
YouTube
Dzen
Telegram