नई दिल्ली, 27 दिसम्बर (आईएएनएस)। भारतीय साइबर एजेंसी सीईआरटी-इन ने मंगलवार को भारतीय यूजर्स को लास्टपास वॉल्ट से जुड़े ऑनलाइन खातों के खिलाफ फिशिंग, क्रेडेंशियल स्टफिंग या अन्य बल के हमलों के खिलाफ चेतावनी दी।चेतावनी एन्क्रिप्टेड पासवर्ड मैनेजर लास्टपास ने पिछले हफ्ते स्वीकार की थी कि हाल ही में डेटा उल्लंघन में हैकर्स ग्राहक वॉल्ट डेटा का बैकअप कॉपी करने में सक्षम थे। लास्टपास एक फ्रीमियम पासवर्ड मैनेजर है जो एन्क्रिप्टेड पासवर्ड को ऑनलाइन स्टोर करता है।
सीईआरटी-इन ने अपनी एडवाइजरी में चेतावनी दी- डेटा एन्क्रिप्ट किया गया है और धमकी देने वाला संभवत: मास्टर पासवर्ड का अनुमान लगाने के लिए क्रूर बल का प्रयास कर सकता है, या आपके लास्टपास ऑल्ट से जुड़े ऑनलाइन खातों के खिलाफ फिशिंग, क्रेडेंशियल स्टफिंग, या अन्य हमले कर सकता है। यह बताया गया है कि, उन्होंने उपयोगकर्ताओं को टारगेट करने के लिए यूटिलिटीज डेवलपर पर्यावरण से स्रोत कोड और तकनीकी जानकारी तक पहुंच प्राप्त की।
कथित तौर पर धमकी देने वालों ने बैकअप से कॉपी की गई जानकारी का उपयोग किया जिसमें बुनियादी ग्राहक खाता जानकारी और संबंधित मेटाडेटा शामिल थे जिससे उपयोगकर्ता पासवर्ड मैनेजर सेवा तक पहुंच बना रहे थे। आईटी मंत्रालय के अंतर्गत आने वाले सर्ट-इन ने कहा, सफल निष्पादन के लिए थ्रेट एक्टर मास्टर पासवर्ड का अनुमान लगाने के संभावित क्रूर प्रयास के साथ उपयोगकर्ताओं को टारगेट कर सकता है, या पासवर्ड मैनर यूटिलिटी से जुड़े ऑनलाइन खातों के खिलाफ फिशिंग, क्रेडेंशियल स्टफिंग और क्रूर बल के हमले कर सकता है।
उन्होंने कहा- उपयोगकर्ता स्तर के खातों पर हर 60-90 दिनों में अपना पासवर्ड बदलें। यह सुनिश्चित करता है कि सोशल इंजीनियरिंग, क्रूर बल और क्रेडेंशियल स्टफिंग हमलों का उपयोग करने वाले खतरे वाले लोग आपके सिस्टम या डेटा तक पहुंच प्राप्त करने के लिए आपके पुराने पासवर्ड का उपयोग नहीं कर सकते हैं। साइबर एजेंसी ने वर्डप्रेस में वल्नरबिलिटी की भी सूचना दी है जो हमलावर को टारगेट सिस्टम पर मनमाना कोड निष्पादित करने की अनुमति दे सकती है।
फाइल अपलोड के दौरान फाइल के अनुचित सत्यापन के कारण वर्डप्रेस के लिए यिथ वूकॉमर्स गिफ्ट कार्डस प्रीमियम प्लगइन में यह वल्नरबिलिटी मौजूद है। सीईआरटी-इन ने कहा, हमलावर दुर्भावनापूर्ण फाइल अपलोड करके इस वल्नरबिलिटी का फायदा उठा सकता है। इस वल्नरबिलिटी का सफल शोषण एक हमलावर को लक्ष्य प्रणाली पर मनमाना कोड निष्पादित करने की अनुमति दे सकता है।
--आईएएनएस
केसी/एएनएम