मुख्य विषयवस्तु में जाएं

संसाधन

इंटेलिजेंस डाइजेस्ट

Hickory Dickory Dock: गोपनीयता के मुद्दे विश्व स्तर पर TikTok को त्रस्त करते हैं

क्या आपका डेटा एक अलग बीट पर नाच रहा है?

अप्रिल 24, 2023

रोडमैन रामेज़ानियन द्वारा - ग्लोबल क्लाउड थ्रेट लीड

कोरोनोवायरस महामारी के दौरान लघु वीडियो क्लिप के माध्यम से हंसी पैदा करने के साधन के रूप में जो शुरू हुआ, टिकटोक ने ध्यान आकर्षित करने वाले शॉर्ट-फॉर्म वीडियो प्रारूप को लिया है और सबसे लोकप्रिय सोशल मीडिया ऐप के बीच अपनी जगह मजबूत की है। लेकिन वायरल होने वाले अन्य विदेशी स्वामित्व वाले ऐप की तरह, चीनी स्वामित्व वाले टिकटॉक को अपने डेटा संग्रह और गोपनीयता प्रथाओं पर जांच का सामना करना पड़ रहा है। इस बार, हालांकि, यह केवल संयुक्त राज्य अमेरिका खतरे की घंटी नहीं बजा रहा है।

"संप्रभुता और अखंडता" के लिए खतरे का हवाला देते हुए, ऑस्ट्रेलिया भारत, यूनाइटेड किंगडम, संयुक्त राज्य अमेरिका, कनाडा और पूरे यूरोप के कई देशों सहित मुट्ठी भर वैश्विक सरकारों में शामिल हो गया है, जो सभी अधिकारियों के मोबाइल फोन से टिकटॉक ऐप को हटाने का आह्वान कर रहा है। सरकारें टिकटॉक जोखिमों को अधिक गंभीरता से लेने लगी हैं, लेकिन, 1 बिलियन से अधिक मासिक सक्रिय उपयोगकर्ताओं के साथ, क्या निगम और गैर-सरकारी संगठन भी ऐसा ही कर रहे हैं?

सेंटर फॉर इंटरनेट सिक्योरिटी के अनुसार, "टिकटॉक उपयोगकर्ताओं से जो डेटा एकत्र करता है, उसमें संवेदनशील जानकारी होती है और अक्सर इसे उपयोगकर्ता के स्पष्ट ज्ञान के बिना लिया जाता है। इस डेटा में शामिल हैं, लेकिन यह सीमित नहीं है, "डिवाइस ब्रांड और मॉडल, ऑपरेटिंग सिस्टम (ओएस) संस्करण, मोबाइल वाहक, ब्राउज़िंग इतिहास, ऐप और फ़ाइल नाम और प्रकार, कीस्ट्रोक पैटर्न या लय, वायरलेस कनेक्शन, जियोलोकेशन। TikTok यहां तक कि अन्य व्यक्तिगत रूप से पहचान योग्य जानकारी (PII) जैसे कि उम्र, छवि, व्यक्तिगत संपर्क और अपनी एकीकृत एकल साइन-ऑन (SSO) क्षमता के माध्यम से एकत्र किए गए अन्य डेटा को एकत्र करने तक जाता है।

यह देखते हुए कि ऐप "[संदेशों] की सामग्री और [संदेश] भेजे जाने, प्राप्त किए जाने और/या पढ़े जाने के बारे में जानकारी" एकत्र कर सकता है, और, विशेष रूप से टिकटॉक के सीईओ की हालिया कांग्रेस की सुनवाई के साथ समग्र संवाद में और पदार्थ जोड़ने के साथ, यह देखना आसान है कि दुनिया भर में बड़े संगठन और कॉर्पोरेट उद्यम टिकटॉक से क्यों सावधान हैं और इसके द्वारा एकत्र किए गए व्यक्तिगत और कॉर्पोरेट डेटा की सुरक्षा के बारे में चिंता व्यक्त कर रहे हैं।

ये उल्लंघन क्यों होते हैं?

जबकि सोशल मीडिया ने हमेशा फ़िशिंग और धोखाधड़ी की भेद्यता सहित विभिन्न सुरक्षा जोखिमों को उत्पन्न किया है, सरकारों, उद्यमों और अन्य बड़े संगठनों के लिए समान रूप से चिंता का एक प्राथमिक बिंदु उन उपकरणों के व्यक्तिगत और कॉर्पोरेट उपयोग के बीच की रेखाओं का धुंधला होना है जिन पर टिकटॉक स्थापित और उपभोग किया जाता है।

इसके अलावा, बाहरी और आंतरिक दोनों पक्षों द्वारा डेटा के दुरुपयोग की संभावना एक महत्वपूर्ण चिंता का विषय है। यह इस वजह से है कि साझा प्रमाणीकरण टोकन, एकल साइन-ऑन एकीकरण, डेटा पोर्टेबिलिटी, और बहुत कुछ के साथ ऑनलाइन प्लेटफ़ॉर्म और सेवाएं कितनी आपस में जुड़ी हुई हैं। संभावित डेटा चोरी और दुरुपयोग के प्रभाव गंभीर हो सकते हैं, विशेष रूप से वेब और क्लाउड सेवाओं के व्यापक उपयोग को देखते हुए।

सवाल यह है कि कितने संगठन टिकटॉक प्रतिबंध का समर्थन करने के लिए पर्याप्त सुरक्षा खतरों की परवाह करते हैं बनाम कितने लोग उन जोखिमों से पूरी तरह अनजान हैं जो वे ले रहे हैं।

किसी भी वेब, क्लाउड या मोबाइल खतरे की तरह, सुरक्षा टीमों के लिए प्रमुख जोखिम कारकों को सीखना और समझना महत्वपूर्ण है। TikTok डेटा को कैसे संभालता है? यह उपयोगकर्ताओं और उपकरणों को सुरक्षित रूप से कैसे पहचानता है और प्रमाणित करता है? इससे किस तरह का ट्रैफ़िक और सामग्री साझा और उपभोग किया जा सकता है? सेवा की उपस्थिति के बिंदु कहां हैं, और संगठन की जोखिम भूख के लिए इसका क्या अर्थ है?

आज की बड़ी संख्या में उपयोगकर्ताओं, उपकरणों, स्थानों, व्यावसायिक आवश्यकताओं और बहुत कुछ के साथ, कभी-कभी रातोंरात कुछ सेवाओं तक पहुंच को स्पष्ट रूप से अवरुद्ध करके भारी-भरकम दृष्टिकोण लेना मुश्किल होता है। उपयोगकर्ताओं को शिक्षित करने और उन मामलों में सुरक्षा रेलिंग शुरू करने के लिए बहुत कुछ कहा जा सकता है जहां कोई संगठन एक झटके में अचानक सेवाओं को अवरुद्ध नहीं करना चाहता है।

Skyhigh Security कई जोखिम विशेषताओं का विवरण देकर इस मुद्दे को संबोधित करता है जिन पर सुरक्षा विश्लेषकों द्वारा विचार करने की आवश्यकता होती है क्योंकि उपयोगकर्ता एक मंच और सेवा के रूप में टिकटॉक के आसपास के अशांत पानी को नेविगेट करते हैं। इनमें डेटा से संबंधित जोखिम विशेषताएँ, उपयोगकर्ता/डिवाइस, सेवा, संगठन की व्यावसायिक प्रथाएँ, कानूनी मामले और साइबर सुरक्षा शामिल हैं।

वहां से, सुरक्षा दल डेटा सुरक्षा नियंत्रण पेश करना शुरू कर सकते हैं, जैसे लॉगिन, अपलोड और/या डाउनलोड को सीमित / डेटा बैंडविड्थ का थ्रॉटलिंग; कस्टम उपयोगकर्ता शिक्षा वेब पेज पेश करना; और अन्य उपाय न केवल टिकटॉक प्लेटफॉर्म पर उपकरणों से डेटा रिसाव को रोकने के लिए, बल्कि, अधिक समग्र रूप से, संवेदनशील डेटा के प्रवाह को उपयोगकर्ताओं के उपकरणों तक पहुंचने से बेहतर ढंग से नियंत्रित करने के लिए जो अन्य संदिग्ध ऑनलाइन सेवाओं का उपभोग कर रहे हैं जो डेटा को गलत तरीके से संभाल सकते हैं।

क्या किया जा सकता है?

प्रयोग Skyhigh Security?

  • मालिकाना और मानकीकृत जोखिम एल्गोरिथ्म का लाभ उठाने के लिए स्काईहाई क्लाउड रजिस्ट्री का उपयोग करें।
  • प्रबंधित उपकरणों पर लॉगिन, अपलोड और/या डाउनलोड जैसी स्वीकार्य उपयोगकर्ता गतिविधियों के मानदंडों को परिभाषित करने के लिए गतिविधि नियंत्रण नियमों का लाभ उठाएं।
  • उन स्थानों के भीतर छाया/वेब नीतियों को लागू करें जहां टिकटॉक को पहले से ही प्रतिबंधित किया जा सकता है और दूसरों में पहुंच को सीमित और नियंत्रित करना शुरू कर सकता है।
  • कई जोखिम विशेषता श्रेणियों में अपने संगठन के वैश्विक जोखिम भार को दर्जी करें।
  • विशिष्ट विशेषताओं के आधार पर सेवा समूह बनाएँ और असाइन करें, जैसे डेटा हैंडलिंग अभ्यास, उपस्थिति के वैश्विक बिंदु, हाल ही के उल्लंघन, और बहुत कुछ।
रोडमैन रामेज़ानियन

लेखक के बारे में

रोडमैन रामेज़ानियन

ग्लोबल क्लाउड थ्रेट लीड

11 से अधिक वर्षों के व्यापक साइबर सुरक्षा उद्योग के अनुभव के साथ, रोडमैन रामेज़ानियन एक एंटरप्राइज़ क्लाउड सुरक्षा सलाहकार है, जो तकनीकी सलाहकार, सक्षमता, समाधान डिजाइन और वास्तुकला के लिए जिम्मेदार है Skyhigh Security. इस भूमिका में, रोडमैन मुख्य रूप से ऑस्ट्रेलियाई संघीय सरकार, रक्षा और उद्यम संगठनों पर केंद्रित है।

रोडमैन एडवरसैरियल थ्रेट इंटेलिजेंस, साइबर क्राइम, डेटा प्रोटेक्शन और क्लाउड सिक्योरिटी के क्षेत्रों में माहिर हैं। वह एक ऑस्ट्रेलियाई सिग्नल निदेशालय (ASD) समर्थित IRAP मूल्यांकनकर्ता हैं - वर्तमान में CISSP, CCSP, CISA, CDPSE, Microsoft Azure और MITRE ATT&CK CTI प्रमाणपत्र धारण कर रहे हैं।

स्पष्ट रूप से, रोडमैन को जटिल मामलों को सरल शब्दों में व्यक्त करने का एक मजबूत जुनून है, जिससे औसत व्यक्ति और नए सुरक्षा पेशेवरों को साइबर सुरक्षा के क्या, क्यों और कैसे समझने में मदद मिलती है।

हमले की झलकियां

  • सोशल मीडिया ऐप डेटा और उन उपकरणों में उलझे हुए हैं जिन पर वे बैठते हैं - वही उपकरण जो आजकल व्यक्तिगत और कॉर्पोरेट दोनों उद्देश्यों के लिए उपयोग किए जाते हैं।
  • टिकटॉक, सभी ऐप्स की तरह, संभावित रूप से उपयोगकर्ता के पूरे मोबाइल फोन तक पहुंच खोलता है। मोबाइल फोन एप्लिकेशन उस ऐप के लिए डिवाइस पर अन्य चीजों तक पहुंच को पुल करने के लिए विश्वसनीय क्षमता प्रदान कर सकते हैं - इस मामले में, यह डेटा रखता है।
  • TikTok किसी भी अन्य लॉगिन स्रोतों या उपयोगकर्ता की प्रोफ़ाइल से जुड़े लोगों से भी जानकारी प्राप्त और एकत्र कर सकता है। इसमें व्यक्तिगत और/या कॉर्पोरेट Google, Facebook, Twitter, या उपयोगकर्ताओं को TikTok को प्रमाणित करने के लिए उपयोग की जाने वाली कोई अन्य सेवा शामिल हो सकती है।
  • ब्रिंग योर ओन डिवाइस (BYOD) प्रथाओं के निरंतर प्रसार के साथ, व्यक्तिगत और कॉर्पोरेट उपयोग के बीच की आभासी रेखा धुंधली हो गई है। वही चिंताजनक अनुप्रयोग बड़ी मात्रा में कॉर्पोरेट डेटा बिंदुओं के साथ सह-अस्तित्व में रहते हैं जो प्रतीत होता है कि गलत हाथों में समाप्त हो जाते हैं।
  • अब वैश्विक सरकारों द्वारा सरकारी कर्मचारियों के उपकरणों पर टिकटॉक पर प्रतिबंध लगाने के लिए काम करने के साथ, व्यवसायों और अन्य संगठनों को भी इस बात पर पुनर्विचार करने के लिए प्रोत्साहित किया जा रहा है कि वे टिकटॉक को एक प्लेटफॉर्म और सेवा के रूप में कैसे उपयोग करते हैं।