Dastlab 184 million foydalanuvchiga tegishli parollar sizib chiqqani haqida xabarlar paydo bo‘lgan edi. Biroq bu hodisa o‘z miqyosiga ko‘ra tarixdagi eng yirik parol sizib chiqishiga aylandi: 16 milliarddan ortiq login ma’lumotlari ochiqlangan. Bu fosh bo‘lgan ma’lumotlar orasida Apple, Facebook, Google kabi texnologik gigantlar, shuningdek, VPN servislaridan tortib hukumat portallarigacha bo‘lgan turli platformalarning ma’lumotlari mavjud.
Boshqa hech qanday buzilishga o‘xshamaydigan qoidabuzarlik
2024-yil boshidan beri bu masalani tekshirayotgan Cybernews kiberxavfsizlik tadqiqotchilarining aytishicha, ma’lumotlar 30 ta alohida ochiq ma’lumotlar to‘plamini o‘z ichiga oladi. Ularning har biri o‘n millionlab yozuvlardan tortib milliardlab yozuvlargacha bo‘lgan ma’lumotlarni qamrab oladi. Ba’zi mutaxassislar dastlab bu sizib chiqishni o‘tmishdagi buzilishlarning qayta to‘plangan to‘plami bo‘lishi mumkin deb taxmin qilgan bo‘lsa-da, tadqiqot guruhi bu asosan yangi, ilgari xabar qilinmagan ma’lumotlar ekanligini ta’kidlamoqda. Hozirgacha faqat bitta misolda — may oyida tarqalgan 184 million parol — avvalgi sizishlar bilan bir xil bo‘lib chiqqan.
“Bu oddiy fosh etilish emas, bu ommaviy ekspluatatsiya rejasi”, — deydi tadqiqotchilar.
Xakkerlik emas – lekin baribir fojia
Muhimi shundaki, bu hodisa Apple yoki Google’ning serverlari buzilgani natijasida yuz bermagan. Aksincha, zararlangan qurilmalardan foydalanuvchilarning ma’lumotlarini to‘plovchi zararli dasturlar — ya’ni infostealer viruslari orqali amalga oshirilgan.
Kiberxavfsizlik bo‘yicha taniqli mutaxassis Bob Diachenko ham bu fikrni tasdiqlaydi. Bu nafaqat jiddiy xavf, balki yuzlab fishing hujumlari, akkauntlarni o‘g‘irlash va shaxsiy ma’lumotlarga noqonuniy kirish uchun imkoniyatlar eshigini ochadi.
Nima uchun bu muhim
“Bu yangi, keng miqyosda qurolga aylantirilishi mumkin bo‘lgan razvedka ma’lumotlari,” dedi Cybernews tadqiqotchisi Aras Nazarovas. Ba’zida eski ma’lumotlarni qayta ishlatgan oldingi sizib chiqishlardan farqli o‘laroq, hozirgi topilma dunyodagi eng keng tarqalgan xizmatlarning kirish URL manzillari va parollarini o‘z ichiga oladi. Bu ma’lumotlarning ko‘pchiligi ilgari hech qachon oshkor etilmagan.
Mutaxassislar ogohlantirishicha, eng kuchli parol ham ochiq ma’lumotlar bazasida bo‘lsa, hech qanday himoya bermaydi. Undan ham yomoni, agar foydalanuvchilar ushbu ma’lumotlarni bir nechta hisoblarda qayta ishlatgan bo‘lsa – bu afsuski juda keng tarqalgan holat – xavf tezda ko‘payib ketadi.
Parol gigiyenasi uchun ogohlantiruvchi signal
Even Dornbush (Desired Effect rahbari) shunday deydi: “Murakkab parol ham sizib chiqqan bo‘lsa, u sizni himoya qila olmaydi. Parollarni qayta ishlatish – internetdagi eng xavfli odatlardan biridir.” Approov kompaniyasi vitse-prezidenti Jorj Makgregor bu holatni “domino effekti” deb ataydi, ya’ni bir fosh bo‘lish butun tizimga zarar yetkazishi mumkin.
Tashkilotlar ham aybdan xoli emas. Keeper Security rahbari Darren Guccione kabi mutaxassislar nol ishonch modeli va imtiyozli kirish nazorati kabi faol choralarning muhimligini ta’kidladilar. “Ma’lumotlar qayerda joylashganidan qat’i nazar, unga kirish har doim autentifikatsiya qilinishi, ruxsat berilishi va qayd etilishi kerak,” dedi Guccione.
Buzilgan tizimmi?
Javobgarlik kimning zimmasida ekanligi haqida fikrlar turlicha. KnowBe4 kompaniyasining xavfsizlik bo‘yicha yetakchi mutaxassisi Javvad Malikning fikricha, kiberxavfsizlik tashkilotlar va foydalanuvchilar o‘rtasidagi umumiy mas’uliyatdir. Boshqalar esa, jumladan MetaCert kompaniyasi rahbari Pol Uolsh, bunga keskin qarshi chiqib, xavfsizlik provayderlari o‘zlari aniqlay olmagan xatarlarga foydalanuvchilarni aybdor qilish to‘g‘ri emasligini ta’kidlaydi.
“Foydalanuvchilarni o‘qitishning o‘zi o‘n yildan ortiq vaqt davomida samarali bo‘lmadi,” deydi Uolsh. “Xavfsizlik provayderlari foydalanuvchilardan kiberxavfsizlik bo‘yicha mutaxassis bo‘lishni talab qilmasdan, ularni himoya qiladigan yechimlarni taqdim etishlari zarur.”
Passkeylarning ko‘payishi
Ushbu tarixiy ma’lumotlar sizib chiqishi munosabati bilan mutaxassislar iste’molchilar va kompaniyalarni an’anaviy parollarni almashtirish uchun mo‘ljallangan yangi, xavfsizroq autentifikatsiya usuli – parolsiz kirish kalitlarini (passkey) qo‘llashga undamoqda. Oddiy parollardan farqli o‘laroq, bu kalitlar biometrik ma’lumotlar yoki jismoniy qurilmalarga asoslanadi, shu sababli ularni o‘g‘irlash yoki noto‘g‘ri ishlatish ancha qiyin.
“Parolsiz kirish kalitlari shunchaki qo‘shimcha imkoniyat emas, balki juda muhim vosita,” – dedi Dashlane xavfsizlik bo‘yicha mutaxassisi va FIDO alyansi hamraisi Ryu Islom. Facebook, Google va Apple allaqachon parolsiz kirish kalitlarini qo‘llab-quvvatlashni yo‘lga qo‘yishni boshlagan va keyingi bir necha yil ichida ularning keng qo‘llanilishi kutilmoqda.
“Agar siz birorta parolingizdan turli hisoblarda qayta foydalangan bo‘lsangiz, hozir harakat qilish vaqti keldi,” – deya qo‘shimcha qildi Islom. “Parollar boshqaruvchisiga o‘ting. Ko‘p bosqichli autentifikatsiyani yoqing. Va iloji boricha parolsiz kirish kalitlariga o‘ting.”
Yakuniy xulosa
Bugungi internet olamida 16 milliard hisob ma’lumotlari muomalada yuribdi. Bunday sharoitda kiberxavfsizlik nafaqat muhim, balki zaruriy ehtiyojga aylangan. Siz bir nechta ijtimoiy tarmoq hisoblariga ega oddiy foydalanuvchi bo‘lasizmi yoki minglab mijozlarga xizmat ko‘rsatadigan kompaniya — farqi yo‘q. Xulosa aniq: Login ma’lumotlaringizni himoya qiling. Aks holda, hamma narsangizdan ayrilish xavfi bor.
Tayyorladi: Navro‘zaxon Bo‘riyeva
