திருடன் கையிலேயே சிக்கிய சாவி! ஏஐ உதவியுடன் திருடப்பட்ட 3.45 லட்சம் கிரெடிட் கார்டு தகவல்கள் லீக்; அதிர்ச்சியில் ஹேக்கர்கள்
செய்தி முன்னோட்டம்
சைபர் நியூஸ் ஆராய்ச்சியாளர்கள் நடத்திய ஆய்வில், ஜெர்ரிஸ் ஸ்டோர் என்ற டார்க் வெப் சந்தையுடன் தொடர்புடைய ஒரு பாதுகாப்பு இல்லாத சர்வர் கண்டுபிடிக்கப்பட்டது. இந்தத் தளம் திருடப்பட்ட பணப் பரிமாற்ற அட்டை தகவல்களை விற்பனை செய்வதோடு, வாங்குபவர்கள் அந்த அட்டைகள் இன்னும் செயல்பாட்டில் உள்ளனவா என்பதைச் சரிபார்க்கும் வசதியையும் வழங்கி வந்தது. ஏஐ தொழில்நுட்பத்தின் மீது அந்தத் தளம் அளவுக்கு அதிகமாகச் சார்ந்திருந்ததால், தற்செயலாக 3,45,000க்கும் மேற்பட்ட கிரெடிட் கார்டு பதிவுகள் இணையத்தில் கசிந்துள்ளன.
பாதுகாப்பு குளறுபடி
ஏஐ கோடிங் கருவிகளால் ஏற்பட்ட பாதுகாப்பு குளறுபடி
ஜெர்ரிஸ் ஸ்டோரின் நிர்வாகிகள் தங்களது இணைய உள்கட்டமைப்பை உருவாக்க "கர்சர்" (Cursor) எனப்படும் ஏஐ ஆற்றல் கொண்ட கோடிங் உதவியாளரைப் பயன்படுத்தியுள்ளனர். அமெரிக்க மென்பொருள் நிறுவனமான 'அனிஸ்பியர்' (Anysphere) தயாரிப்பான கர்சர், பொதுவாக நிரலாளர்களால் (Programmers) பரவலாகப் பயன்படுத்தப்படும் ஒரு சட்டபூர்வமான கருவியாகும். இருப்பினும், தளத்தின் நிர்வாகிகள் சரியான பாதுகாப்புச் சோதனைகள் இன்றி ஏஐ அமைப்புக்குத் தெளிவற்ற உத்தரவுகளை வழங்கியதால், பாதுகாப்பு நெறிமுறைகள் இல்லாத பின்தள அமைப்புகள் (Backend systems) உருவாகிவிட்டன.
ரகசிய தரவுகள்
கடவுச்சொல் இன்றி திறந்த நிலையில் இருந்த ரகசியத் தரவுகள்
ஏஐ அமைப்புக்கு வழங்கப்பட்ட தெளிவற்ற கட்டளைகளால், அந்தத் தளத்தின் புள்ளிவிவர டேஷ்போர்டு (Dashboard) எவ்வித கடவுச்சொல் பாதுகாப்பும் இன்றி நேரடியாக இணையத்தில் அணுகும் வகையில் இருந்துள்ளது. கடந்த ஏப்ரல் 16 அன்று இந்தச் சர்வரைக் கண்டுபிடித்த ஆராய்ச்சியாளர்கள், அதில் சுமார் 1,45,000 "செல்லுபடியாகும்" (Valid) அட்டை விவரங்கள் இருப்பதைக் கண்டறிந்தனர். இந்தத் தரவுகளில் முழு கார்டு எண்கள், காலாவதி தேதிகள், சிவிவி (CVV) குறியீடுகள், பெயர்கள் மற்றும் முகவரிகள் ஆகியவை அடங்கும்.
குற்றவாளிகள்
குற்றவாளிகளுக்காகச் செயல்பட்ட அட்டை சரிபார்ப்பு சேவை
இந்தத் தளம் திருடப்பட்ட கார்டுகளை விற்பனை செய்வதோடு மட்டுமல்லாமல், அவை இன்னும் செயல்பாட்டில் இருக்கின்றனவா என்பதை உறுதி செய்யும் சரிபார்ப்பு சேவையையும் குற்றவாளிகளுக்கு வழங்கி வந்தது. இதற்காக அந்த நிர்வாகிகள் அமேசான், கிரப்ஹப், சேம்ஸ் கிளப், டெமு, லிஃப்ட், எல்ஃப் காஸ்மெட்டிக்ஸ் மற்றும் கன்ட்ரி மேக்ஸ் போன்ற முன்னணி தளங்களில் போலி கணக்குகளை உருவாக்கியுள்ளனர். இந்தக் கணக்குகளின் மூலம் உண்மையான பணப் பரிமாற்றச் சோதனைகளைச் செய்து, கார்டுகள் வேலை செய்கின்றனவா என்பதை அவர்கள் உறுதிப்படுத்தியுள்ளனர்.
ஏஐ கட்டளை
ஒரே ஒரு ஏஐ கட்டளையால் அம்பலமான ரகசியங்கள்
இந்த மிகப்பெரிய தரவுக் கசிவானது, கர்சர் ஏஐ அமைப்புடன் நிர்வாகிகள் மேற்கொண்ட அரட்டை வரலாற்றில் (Chat history) உள்ள ஒரே ஒரு கோரிக்கையிலிருந்து தொடங்கியுள்ளது. தளத்தின் நிர்வாகி ஒருவர் ஏஐ அமைப்பிடம் ஒரு புள்ளிவிவர டேஷ்போர்டை உருவாக்குமாறு கேட்டுள்ளார், அதன்படி ஏஐ உருவாக்கிய அந்தப் பக்கம் எந்தப் பாதுகாப்பு அரணும் இன்றி இணையத்தில் பதிவேற்றப்பட்டது. டெவலப்பர்கள் ஏஐ கருவிகளைப் பயன்படுத்தும் போது முறையான பாதுகாப்புச் சோதனைகள் செய்யாவிட்டால், அது எவ்வளவு பெரிய பாதிப்பை ஏற்படுத்தும் என்பதற்கு இந்தச் சம்பவம் ஒரு பாடமாக அமைந்துள்ளது.
பாதிக்கப்பட்ட நிறுவனங்கள்
பாதிக்கப்பட்ட நிறுவனங்கள் மற்றும் தரவுப் பாதுகாப்பின் அவசியம்
திருடப்பட்ட கார்டுகளைச் சோதிக்க ஹேக்கர்கள் பயன்படுத்திய தளங்களின் பட்டியலில் முன்னணி மின்-வணிக மற்றும் உணவு விநியோக நிறுவனங்கள் இடம்பெற்றுள்ளன. ஏஐ கருவிகள் மென்பொருள் உருவாக்கத்தை எளிதாக்கினாலும், அவை உருவாக்கும் குறியீடுகளை (Codes) மனிதர்கள் மீண்டும் சரிபார்ப்பது மிகவும் அவசியம் என்பதை இந்தத் தரவுக் கசிவு உணர்த்துகிறது. சட்டவிரோதச் செயல்களில் ஈடுபடும் ஹேக்கர்களே ஏஐ தொழில்நுட்பத்தின் தவறான பயன்பாட்டால் தங்களது ரகசியங்களை இழந்திருப்பது இணைய உலகில் பெரும் கவனத்தைப் பெற்றுள்ளது.