கடந்த ஆண்டின் பிற்பகுதியில் பல்லாயிரக்கணக்கான அமெரிக்கர்களின் நிதி மற்றும் தனிப்பட்ட தகவல்களை அம்பலப்படுத்திய பிரபலமற்ற இலக்கு பாதுகாப்பு மீறல், நிறுவனத்தின் வழக்கமான செயல்பாடுகள் மற்றும் பராமரிப்பு செயல்பாடுகளை ஒரு தனி நெட்வொர்க்கில் முக்கியமான கட்டண செயல்பாடுகளிலிருந்து வைக்க தவறியதன் விளைவாகும், பாதுகாப்பிலிருந்து கிடைத்த தகவல்களின்படி ஆராய்ச்சியாளர் பிரையன் கிரெப்ஸ், டிசம்பர் மாதத்தில் மீறலை முதலில் அறிவித்தார்.
மூன்றாம் தரப்பு விற்பனையாளரிடமிருந்து திருடப்பட்ட தகவல்களை உள்நுழைவதற்கு அதன் நெட்வொர்க்கின் ஆரம்ப மீறல் கண்டறியப்பட்டதாக இலக்கு கடந்த வாரம் வால் ஸ்ட்ரீட் ஜேர்னலுக்கு வெளிப்படுத்தியது. திரு. கிரெப்ஸ் இப்போது கேள்விக்குரிய விற்பனையாளர் ஃபாசியோ மெக்கானிக்கல் சர்வீசஸ், ஷார்ப்ஸ்பர்க், பிஏ-அடிப்படையிலான நிறுவனம், குளிரூட்டல் மற்றும் எச்.வி.ஐ.சி நிறுவல் மற்றும் பராமரிப்பை வழங்க இலக்குடன் ஒப்பந்தம் செய்தார். விசாரணையின் ஒரு பகுதியாக அமெரிக்க இரகசிய சேவையால் இந்த நிறுவனம் பார்வையிடப்பட்டதை பாசியோ தலைவர் ரோஸ் பாசியோ உறுதிப்படுத்தினார், ஆனால் அதன் ஊழியர்களுக்கு ஒதுக்கப்பட்ட உள்நுழைவு சான்றுகளில் ஈடுபடுவதாக அறிவிக்கப்பட்ட எந்தவொரு பொது அறிக்கையும் இதுவரை வெளியிடப்படவில்லை.
எரிசக்தி பயன்பாடு மற்றும் குளிர்பதன வெப்பநிலை போன்ற அளவுருக்களைக் கண்காணிக்க ஃபேஸியோ ஊழியர்களுக்கு இலக்கு நெட்வொர்க்கிற்கு தொலைநிலை அணுகல் வழங்கப்பட்டது. இலக்கு அதன் நெட்வொர்க்கைப் பிரிக்கத் தவறியதாகக் கூறப்படுவதால், சில்லறை விற்பனையாளரின் உணர்திறன் புள்ளி விற்பனை (பிஓஎஸ்) சேவையகங்களை அணுக, அறியக்கூடிய ஹேக்கர்கள் அதே மூன்றாம் தரப்பு தொலை நற்சான்றிதழ்களைப் பயன்படுத்தலாம் என்று பொருள். இன்னும் அறியப்படாத ஹேக்கர்கள் இந்த பாதிப்பைப் பயன்படுத்தி பெரும்பாலான இலக்கு பிஓஎஸ் அமைப்புகளுக்கு தீம்பொருளைப் பதிவேற்றினர், இது நவம்பர் பிற்பகுதியிலிருந்து டிசம்பர் நடுப்பகுதிக்கு இடையில் கடையில் கடைக்கு வந்த 70 மில்லியன் வாடிக்கையாளர்களின் கட்டணம் மற்றும் தனிப்பட்ட தகவல்களைக் கைப்பற்றியது.
இந்த வெளிப்பாடு இலக்கு நிர்வாகிகளால் ஒரு அதிநவீன மற்றும் எதிர்பாராத இணைய திருட்டு என நிகழ்வின் தன்மை குறித்து சந்தேகத்தை ஏற்படுத்தியுள்ளது. பதிவேற்றிய தீம்பொருள் உண்மையில் மிகவும் சிக்கலானது, மற்றும் உள்நுழைவு நற்சான்றிதழ்களைத் திருட அனுமதித்ததற்கு பாசியோ ஊழியர்கள் சில குற்றச்சாட்டுகளைப் பகிர்ந்து கொண்டாலும், இலக்கு பாதுகாப்பு வழிகாட்டுதல்களைப் பின்பற்றி, பணம் செலுத்தும் சேவையகங்களை தனிமைப்படுத்த அதன் நெட்வொர்க்கைப் பிரித்திருந்தால், இந்த நிபந்தனை இரண்டையும் மாற்றியமைத்திருக்கும். ஒப்பீட்டளவில் பரந்த அணுகலை அனுமதிக்கும் நெட்வொர்க்குகளிலிருந்து.
பாதுகாப்பு நிறுவனமான ஃபயர்மோனின் நிறுவனர் மற்றும் சி.டி.ஓ ஜோடி பிரேசில் கம்ப்யூட்டர் வேர்ல்டுக்கு விளக்கினார், “இதில் ஒன்றும் ஆடம்பரமாக இல்லை. இலக்கு அதன் நெட்வொர்க்கிற்கு மூன்றாம் தரப்பு அணுகலை தேர்வுசெய்தது, ஆனால் அந்த அணுகலை சரியாகப் பாதுகாக்கத் தவறிவிட்டது. ”
மற்ற நிறுவனங்கள் இலக்குகளின் தவறுகளிலிருந்து கற்றுக்கொள்ளத் தவறினால், நுகர்வோர் இன்னும் மீறல்களைப் பின்பற்றலாம் என்று எதிர்பார்க்கலாம். CTO மற்றும் இடர் மேலாண்மை நிறுவனமான பிட்சைட்டின் இணை நிறுவனர் ஸ்டீபன் போயர் விளக்கினார், “இன்றைய ஹைப்பர் நெட்வொர்க் உலகில், நிறுவனங்கள் பணம் செலுத்துதல் மற்றும் செயலாக்கம், உற்பத்தி, தகவல் தொழில்நுட்பம் மற்றும் மனித வளங்கள் போன்ற செயல்பாடுகளுடன் மேலும் மேலும் வணிக கூட்டாளர்களுடன் இணைந்து செயல்படுகின்றன. முக்கியமான தகவல்களை அணுகுவதற்கான பலவீனமான நுழைவு புள்ளியை ஹேக்கர்கள் கண்டுபிடிக்கின்றனர், பெரும்பாலும் அந்த புள்ளி பாதிக்கப்பட்டவரின் சுற்றுச்சூழல் அமைப்பினுள் இருக்கும். ”
மீறலின் விளைவாக கட்டணம் செலுத்தும் அட்டை தொழில் (பிசிஐ) பாதுகாப்பு தரங்களை இலக்கு மீறியதாக இதுவரை கண்டறியப்படவில்லை, ஆனால் சில ஆய்வாளர்கள் நிறுவனத்தின் எதிர்காலத்தில் சிக்கலை எதிர்பார்க்கிறார்கள். மிகவும் பரிந்துரைக்கப்பட்டாலும், பிசிஐ தரநிலைகள் நிறுவனங்கள் தங்கள் நெட்வொர்க்குகளை கட்டணம் மற்றும் பணம் செலுத்தாத செயல்பாடுகளுக்கு இடையில் பிரிக்க தேவையில்லை, ஆனால் இலக்கின் மூன்றாம் தரப்பு அணுகல் இரண்டு காரணி அங்கீகாரத்தைப் பயன்படுத்தினதா என்பது குறித்து சில கேள்விகள் உள்ளன, இது ஒரு தேவை. பி.சி.ஐ தரநிலைகளை மீறுவதால் பெரிய அபராதம் விதிக்கப்படலாம், மேலும் கார்ட்னர் ஆய்வாளர் அவிவா லிட்டன் திரு. கிரெப்ஸிடம், நிறுவனம் மீறல் தொடர்பாக 420 மில்லியன் டாலர் வரை அபராதம் விதிக்கக்கூடும் என்று கூறினார்.
மீறலுக்கு பதிலளிக்கும் வகையில் அரசாங்கமும் செயல்படத் தொடங்கியுள்ளது. ஒபாமா நிர்வாகம் இந்த வாரம் கடுமையான இணைய பாதுகாப்பு சட்டங்களை பின்பற்ற பரிந்துரைத்தது, குற்றவாளிகளுக்கு கடுமையான அபராதங்களையும், பாதுகாப்பு மீறல்களை அடுத்து வாடிக்கையாளர்களுக்கு அறிவிக்க நிறுவனங்களுக்கு கூட்டாட்சி தேவைகளையும் கொண்டுவருவதற்கும், சைபர் தரவுக் கொள்கைகளுக்கு வரும்போது சில குறைந்தபட்ச நடைமுறைகளைப் பின்பற்றுவதற்கும் பரிந்துரைத்தது.
