Checkout.com की हैकिंग हमले पर प्रतिक्रिया: फिरौती से इनकार और सुरक्षा शोध को दान

 (checkout.com)
1 पॉइंट द्वारा GN⁺ 2025-11-14 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • पेमेंट प्लेटफ़ॉर्म Checkout.com को साइबर अपराधी संगठन की उगाही की कोशिश का सामना करना पड़ा, लेकिन कंपनी ने फिरौती देने से इनकार किया और उसकी बजाय उतनी ही राशि साइबर सुरक्षा शोध के लिए दान कर दी
  • हमलावरों ने 2020 से पहले इस्तेमाल किए गए legacy third-party cloud file storage system में अनधिकृत पहुंच बनाकर कुछ डेटा हासिल किया
  • Checkout.com ने स्पष्ट किया कि payment processing platform, merchant funds, और card information पर कोई असर नहीं पड़ा
  • कंपनी का अनुमान है कि कुल merchants में 25% से कम प्रभावित हो सकते हैं, और वह law enforcement तथा regulatory authorities के साथ सहयोग कर रही है
  • कंपनी ने Carnegie Mellon University और University of Oxford Cyber Security Center को दान दिया और पारदर्शिता व भरोसे को इंडस्ट्री के मुख्य मूल्य के रूप में दोहराया

घटना का सार

  • Checkout.com को पिछले हफ्ते “ShinyHunters” नामक अपराधी संगठन ने संपर्क किया, जिसने दावा किया कि उसके पास Checkout.com से जुड़ा डेटा है और फिरौती की मांग की
  • जांच में पता चला कि हमलावरों ने 2020 से पहले इस्तेमाल किए गए third-party cloud file storage system में अनधिकृत पहुंच हासिल की थी
    • इस सिस्टम का उपयोग आंतरिक परिचालन दस्तावेज़ और merchant onboarding सामग्री को स्टोर करने के लिए किया जाता था
    • Checkout.com ने माना कि इस सिस्टम को ठीक तरह से निष्क्रिय न किया जाना उसकी गलती थी
  • कंपनी ने स्पष्ट किया कि इस घटना का payment processing platform पर कोई प्रभाव नहीं पड़ा, और हमलावर merchant funds या card numbers तक पहुंच नहीं बना सके

प्रभाव और प्रतिक्रिया उपाय

  • Checkout.com का अनुमान है कि वर्तमान merchants में 25% से कम प्रभावित होंगे
  • कंपनी प्रभावित merchants की पहचान और व्यक्तिगत संपर्क प्रक्रिया चला रही है, और law enforcement तथा संबंधित regulatory authorities के साथ सहयोग कर रही है
  • Checkout.com ने पारदर्शिता और जवाबदेही पर ज़ोर देते हुए भागीदारों और ग्राहकों के प्रति भरोसा बनाए रखने की प्रतिबद्धता जताई

फिरौती से इनकार और दान का फैसला

  • Checkout.com ने अपराधियों को फिरौती न देने की घोषणा की
  • इसके बजाय, हमले में मांगी गई राशि को Carnegie Mellon University और University of Oxford Cyber Security Center को साइबर अपराध शोध सहायता अनुदान के रूप में दान किया गया
  • कंपनी ने कहा कि वह इस घटना को पूरे उद्योग में सुरक्षा निवेश के अवसर में बदलेगी

कंपनी का रुख और वादे

  • Checkout.com ने कहा कि “सुरक्षा, पारदर्शिता और भरोसा इंडस्ट्री की बुनियाद हैं” और उसने अपनी गलती स्वीकार करते हुए merchants की रक्षा करने की बात कही
  • कंपनी ने ज़ोर दिया कि वह डिजिटल अर्थव्यवस्था को खतरे में डालने वाली आपराधिक गतिविधियों के खिलाफ लड़ाई में निवेश करेगी
  • merchants मौजूदा Checkout संपर्क चैनलों के ज़रिए सहायता का अनुरोध कर सकते हैं

निष्कर्ष

  • Checkout.com ने इस घटना के जरिए साइबर उगाही के खिलाफ सख्त रुख दिखाया,
    और सुरक्षा शोध को दान देकर पूरे उद्योग की रक्षा क्षमता मजबूत करने की कोशिश की
  • कंपनी पारदर्शी खुलासे और जिम्मेदार कदमों के जरिए merchant trust बहाल करने पर ध्यान दे रही है

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2025-11-14
Hacker News राय

  • कुछ साल पहले ShinyHunters के सदस्यों को FBI ने गिरफ्तार किया था
    मैं उनमें से एक, Sebastian Raoult, के साथ उसी जेल में था और हमारी काफी बातचीत हुई थी
    बड़े पैमाने पर phishing हमलों के लिए उन्होंने जो लगातार जिद और मेहनत दिखाई, वह हैरान करने वाली थी। ज़्यादातर access उन्होंने उसी तरह पाया, और बाकी मामलों में GitHub पर API endpoints ढूँढकर leaked keys खोजते थे
    उसे GitHub के automatic scanner ज़्यादा पसंद नहीं थे
    संबंधित लेख: अमेरिकी न्याय विभाग की प्रेस विज्ञप्ति

    • आम तौर पर cyber security में इंसान ही सबसे कमज़ोर कड़ी साबित होता है
      इसलिए यह हैरानी की बात नहीं कि उन्होंने social engineering के ज़रिए access हासिल किया
      दिलचस्प बात यह है कि वे खुद भी social engineering के शिकार हो सकते हैं। ऑनलाइन गेम exploits बनाकर कम उम्र के hackers को फँसाने वाले लोग आखिरकार पैसे कमाने का ज़्यादा सुरक्षित ढांचा बना लेते हैं
    • sports streaming साइट चलाने के कारण federal prison जाना अफ़सोसजनक है
      यह जानने की उत्सुकता है कि क्या उन्होंने bulletproof hosting इस्तेमाल की थी, या payment provider के ज़रिए उनका पता लगाया गया
      यह भी जानना चाहूँगा कि साइट Sportsurge की तरह सिर्फ links देती थी, या खुद stream host भी करती थी
    • उसने GitHub scanner को नापसंद किया, इसका मतलब क्या यह है कि scanner इतने प्रभावी थे कि उनकी गतिविधियों में रुकावट डालते थे, या फिर उसे वे अक्षम लगते थे?
    • “बड़े पैमाने पर phishing के लिए उनकी जिद हैरान करने वाली थी” — इसका ठोस मतलब क्या है, यह सुनना चाहूँगा

  • कंपनी की माफ़ीनामे से

    “We are sorry. We regret that this incident has caused worry for our partners and people...”
    यह हिस्सा मुझे सच में बहुत पसंद आया। चाहे इसे LLM ने लिखा हो या PR टीम ने, यह दिल से निकली हुई पंक्ति लगी

    • ऐसे माफ़ीनामे देखकर मुझे हमेशा South Park के BP parody scene की याद आती है
      असली माफ़ी से ज़्यादा ज़रूरी है root cause analysis और दोबारा ऐसा न हो, इसके उपाय।
      ग्राहक डेटा संभालने वाले कितने पुराने सिस्टम और थे, और बजट किसने रोका था, यह सामने आना चाहिए तभी भरोसा लौटेगा
      सच्ची माफ़ी शब्दों से नहीं, मुआवज़े से दिखनी चाहिए
    • “We are sorry.” जैसी बात कंपनियाँ लगभग कभी नहीं कहतीं, इसलिए यह दुर्लभ अभिव्यक्ति ताज़गीभरी लगी
    • “We are fully committed to maintaining your trust.” की जगह “rebuilding your trust” ज़्यादा सही लगता है
    • “हम अपराधी की गिरफ्तारी तक ले जाने वाली जानकारी देने वाले को 5 लाख डॉलर देंगे” जैसी कड़ी प्रतिक्रिया उल्टा भरोसा बढ़ा सकती है
    • अच्छा लगा कि “due to an abundance of caution” जैसे घिसे-पिटे वाक्य नहीं थे। कुल मिलाकर यह एक आदर्श प्रतिक्रिया लगती है

  • अगर मैं ग्राहक होता तो गुस्सा ज़रूर आता, लेकिन यह प्रतिक्रिया जितनी संभव थी, उतनी बेहतर लगी

    • तेज़ प्रतिक्रिया, कंपनी द्वारा स्वेच्छा से खुलासा, ईमानदार माफ़ी, नुकसान की सीमा का विवरण — इन सब मामलों में इसने ज़्यादातर मानक पूरे किए
    • लेकिन अगर बात सिर्फ “हम माफ़ी चाहते हैं” पर खत्म हो जाए, तो उद्योग को आगे और बड़ी तबाही झेलनी पड़ेगी
      कानूनी जवाबदेही, refund, और कड़े regulation साथ-साथ होने चाहिए
    • इसे “तेज़ प्रतिक्रिया” कहा जा रहा है, लेकिन कंपनी खुद hack पकड़ नहीं सकी और हमलावर के पहले संपर्क करने के बाद ही खुलासा हुआ, इसलिए यह वास्तव में कितनी तेज़ थी, इस पर सवाल है
    • ग्राहक के नज़रिए से देखें तो “डेटा लीक रोकने के लिए ransom दे देना” शायद बेहतर विकल्प हो सकता था
      पारदर्शिता के लिए audit results और postmortem भी साथ में प्रकाशित किए जाने चाहिए थे

  • यह donation वास्तविक security सुधार से ज़्यादा दिखावटी कदम जैसा लगता है
    पहले से ज्ञात security practices का पालन करना ज़्यादा महत्वपूर्ण है। उस पैसे को security staff hiring या सिस्टम मज़बूत करने में लगाना चाहिए था
    (संदर्भ: hack एक बंद न किए गए legacy system में हुआ था)

    • मैं इस donation को अपराधियों के लिए उकसावे की तरह देखता हूँ। संदेश है: “हमारे पास पैसा है, लेकिन तुम्हें नहीं देंगे”
      यह सिर्फ virtue signaling नहीं, बल्कि ‘हम ransom demands के आगे नहीं झुकते’ का संकेत है
    • फिर भी ऐसी स्थिति में अच्छा संदेश देना बुरा नहीं है
      अगर ransom दिया जाता, तो शायद और हमलों को बढ़ावा मिलता
      पैसा गंवाना पड़े तब भी उसे किसी सार्थक दिशा में खर्च करना समझदारी है
    • इस समय तो मुझे virtue signaling, vice signaling से बेहतर लगता है
    • ‘Virtue signaling’ शब्द अक्सर पाखंडी व्यवहार की आलोचना के लिए इस्तेमाल होता है, लेकिन इस मामले में अपराधियों से मोलभाव न करना और security research को support करना लंबे समय में सही दिशा है
    • फिर भी ग्राहक के नज़रिए से ransom दे देना नुकसान कम करने वाला कदम साबित हो सकता था।
      अपराधियों को पैसा देने के दुष्प्रभाव हैं, लेकिन भुगतान न करने पर ग्राहक को और बड़ा नुकसान हो सकता है

  • “हमलावरों ने third-party cloud storage सिस्टम के ज़रिए access पाया” — यह बात थोड़ी ज़िम्मेदारी टालने जैसी लगी

    • अगर हमलावर संवेदनशील डेटा तक भी पहुँच गए होते, तो कंपनी की प्रतिक्रिया कितनी अलग होती, यह जानना दिलचस्प होगा
    • ज़्यादातर कंपनियों के codebase अब भी legacy technology से भरे हुए हैं
      ऐसे हादसे होते हैं, एक हफ्ते तक लोग मज़ाक उड़ाते हैं, और फिर सब ख़त्म। आखिर में बुनियादी बदलाव लगभग नहीं होते

  • इस तरह की सार्वजनिक प्रतिक्रिया और donation मुझे साहसिक फैसला लगते हैं
    perfect security नाम की कोई चीज़ नहीं होती, और अभी postmortem आए बिना जल्दबाज़ी में दोष देना मुश्किल है
    बात छिपाने के बजाय खुलकर बताना और academic donation के ज़रिए सार्वजनिक हित वाला रुख अपनाना काबिल-ए-तारीफ़ है

    • Hacker News पर निंदक रवैया कभी-कभी एक तरह की बौद्धिक श्रेष्ठता की तरह देखा जाता है

  • “internal operational documents और merchant onboarding materials में इस्तेमाल होने वाला सिस्टम” — इस पंक्ति से लगता है कि संभवतः यह KYC process में इकट्ठा किए गए documents थे
    यानी इसमें कंपनी के कागज़ात या passport/ID scans शामिल हो सकते हैं
    ऐसे डेटा में identity theft का जोखिम बड़ा होता है, और यह कई साल तक उपयोगी रह सकता है

    • लेकिन passport scans का सामान्य KYB दस्तावेज़ों के साथ रखा जाना कम संभव लगता है
      GDPR के बाद इस तरह का sensitive data अलग security zone में रखा जाता है
      शायद यह बस onboarding टीम द्वारा इस्तेमाल किया जाने वाला PDF या questionnaire document repository था

  • “25% से कम ग्राहक प्रभावित हुए” — लेकिन अगर मैं उन्हीं में होता, तो बिना मुआवज़े वाला gesture संतोषजनक नहीं लगता

  • “OXCIS” का मतलब Oxford Centre for Islamic Studies होता है, इसलिए वह नहीं लगता
    असली donation recipient शायद Oxford University का Cyber Security research center है

    • Cyber Security Oxford ऑक्सफ़र्ड यूनिवर्सिटी के तहत चलने वाला cyber security research community है

  • fintech इंडस्ट्री में काम करने के मेरे अनुभव के हिसाब से, इस बार लीक हुआ डेटा merchant KYB documents लगता है
    यह business risk assessment के लिए इस्तेमाल होने वाली सामग्री होती है, और payment information या PAN जितनी संवेदनशील नहीं होती
    बेशक hack बुरी बात है, लेकिन इस तरह का डेटा कई बार public information भी होता है
    कंपनी ने इसे पारदर्शी तरीके से सार्वजनिक किया, यह सराहनीय है

    • लेकिन KYB documents में अक्सर ultimate beneficial owners या directors के passport, tax ID आदि शामिल होते हैं
      इसलिए अमीर लोगों को निशाना बनाने वाली identity theft का जोखिम भी मौजूद है