पॉवरलिंक्स विज्ञापनों ने द वर्ज, वाइस न्यूज़ और अन्य जैसे प्रमुख प्रकाशनों से लाखों पाठकों को जोखिम में डाल दिया

वाइस न्यूज(Vice News) , सीएनईटी(CNET) , द वर्ज(Verge) , नेओविन(Neowin) और अधिक जैसी प्रमुख वेबसाइटों के पाठकों को 2015 से सुरक्षा जोखिमों का सामना करना पड़ा है क्योंकि वे पॉवरलिंक्स(PowerLinks) विज्ञापन प्लेटफॉर्म से चलने वाले विज्ञापनों में समय सीमा समाप्त एसएसएल(SSL) प्रमाणपत्र का उपयोग करते हैं। यहां बताया गया है कि क्या हो रहा है, प्रकाशन पढ़ते समय आप अपने आप को क्या उजागर कर रहे हैं जिसमें PowerLinks विज्ञापन शामिल हैं और सुरक्षित रहने के लिए आप क्या कर सकते हैं:

PowerLinks के माध्यम से प्रदर्शित विज्ञापनों में SSL प्रमाणपत्र हैं जो अक्टूबर 2015 में समाप्त हो गए हैं(October 2015)

अपने व्यक्तिगत कंप्यूटर पर कई वेबसाइटों को पढ़ते हुए, मैंने देखा है कि मेरा सुरक्षा समाधान शिकायत कर रहा था कि मेरा ब्राउज़र एक ऐसे चैनल पर संचार करने का प्रयास कर रहा है जो एक अविश्वसनीय प्रमाणपत्र के साथ एन्क्रिप्ट किया गया है। मेरा एंटीवायरस उस डोमेन की प्रामाणिकता की गारंटी नहीं दे सकता जिससे एन्क्रिप्टेड कनेक्शन स्थापित किया गया था, और इसने मेरे लिए सुरक्षा जोखिम पैदा कर दिया। शुरू में मैंने इस चेतावनी को नज़रअंदाज़ किया और बस पढ़ता रहा। हालाँकि, कई बड़ी वेबसाइटों पर इसे देखने के बाद, मैंने ध्यान देना शुरू किया और चीजों का अधिक विस्तार से अध्ययन किया।

मुझे यह जानकर आश्चर्य हुआ कि यह चेतावनी बड़े ऑनलाइन प्रकाशनों पर दिखाई जाती है और यह हमेशा pw.powerlinks.com से प्रदर्शित विज्ञापनों के कारण होती है। उन सभी के पास एक एसएसएल(SSL) प्रमाणपत्र है जो अक्टूबर 2015(October 2015) में समाप्त हो गया है , जैसा कि आप नीचे देख सकते हैं।

पावरलिंक, विज्ञापन, एसएसएल, समाप्त हो गया

यह जांचने के लिए कि क्या यह सच था और केवल झूठा अलार्म नहीं था, मैंने एक और उच्च श्रेणी के सुरक्षा उत्पाद की कोशिश की, और परिणाम समान थे। मैंने और वेबसाइटों को नेविगेट किया और देखा कि प्रकाशन जगत में कुछ बड़े नामों के लिए वही समस्या दोहराई जा रही थी।

PowerLinks प्रकाशकों को क्या प्रदान करता है ?

उनकी आधिकारिक वेबसाइट के अनुसार, पॉवरलिंक्स(PowerLinks) के पास विज्ञापन समाधान और सेवाओं का एक व्यापक पोर्टफोलियो है। वे ग्राहकों के अपने पोर्टफोलियो में साइटों के लिए एक विज्ञापन सर्वर, एक विज्ञापन एक्सचेंज(Ad Exchange) प्लेटफॉर्म, मूल विज्ञापन (इन-टेक्स्ट, इन-वीडियो, इन-इमेज, इन-फीड और इन-डिस्प्ले विज्ञापन) और बहुत कुछ प्रदान करते हैं।

यह एक मुद्दा क्यों है? जब वेबसाइटें समाप्त हो चुके एसएसएल(SSL) प्रमाणपत्रों के साथ विज्ञापन प्रदर्शित करती हैं, तो हमारे सामने आने वाली समस्याएं

यदि आपके पास एक अच्छा सुरक्षा समाधान स्थापित नहीं है, तो हो सकता है कि आप इस समस्या पर कभी ध्यान न दें। हालाँकि, यदि आप एक अच्छे एंटीवायरस का उपयोग करते हैं जो वास्तविक समय में आपके HTTP ट्रैफ़िक को स्कैन करता है, तो आप कई बड़े मीडिया प्रकाशनों पर सुरक्षा संकेत से नाराज़ होंगे जो (HTTP)PowerLinks द्वारा प्रदान की जाने वाली विज्ञापन सेवाओं का उपयोग करते हैं ।

झुंझलाहट कारक को छोड़कर, हमने कैटलिन पैट्रास्कु(Catalin Patrascu) ( रोमानियाई राष्ट्रीय कंप्यूटर सुरक्षा घटना प्रतिक्रिया टीम में (National Computer Security Incident Response Team)सूचना सुरक्षा(Information Security) और निगरानी विभाग(Monitoring Department) के प्रमुख ) से इन विज्ञापनों से जुड़े सुरक्षा जोखिमों के बारे में पूछा, और उन्होंने निम्नलिखित कहा:

"सैद्धांतिक रूप से, एसएसएल प्रमाणपत्रों का सत्यापन किया जा सकता है, भले ही वे समाप्त हो गए हों। उन उपयोगकर्ताओं के लिए जो इस त्रुटि के अभ्यस्त हो जाते हैं और हर बार त्रुटि मिलने पर एसएसएल प्रमाणपत्र की जांच नहीं करते हैं, दुर्भावनापूर्ण पर पुनर्निर्देशित होने का जोखिम है पृष्ठ और बीच-बीच में हमलों का लक्ष्य बनना"("Theoretically, the verification of SSL certificates can be done even though they are expired. For the users that get used to this error and don't check the SSL certificate each time they get the error, there is the risk of getting redirected to malicious pages and becoming the target of man-in-the-middle attacks")

एक और महत्वपूर्ण बात यह है कि ये विज्ञापन उपयोगकर्ता डेटा और उपयोगकर्ता व्यवहार को भी ट्रैक करते हैं। यह डेटा एक असुरक्षित चैनल के माध्यम से भेजा जाता है, जिससे यह अवांछित पक्षों द्वारा अवरोधन की चपेट में आ जाता है।

इस मुद्दे से प्रभावित होने वाली वेबसाइटों में शामिल हैं: द वर्ज(Verge) , वाइस न्यूज(Vice News) , सीएनईटी(CNET) , और बहुत कुछ

हम उन वेबसाइटों की सटीक सूची नहीं जानते जो इस समस्या से प्रभावित हैं। हम मानते हैं कि सभी PowerLinks ग्राहक जोखिम में हैं। अब तक, हमने द वर्ज, वाइस न्यूज, सीएनईटी, नियोविन और अन्य जैसे बड़े मीडिया प्रकाशनों पर(Verge) इस समस्या(Vice News) की पहचान(CNET) की है(Neowin) । इन वेबसाइटों के हर महीने लाखों पाठक होते हैं, और अक्टूबर 2015 से हर दिन उनके दर्शकों की सुरक्षा को जोखिम में डाला गया है, जब वे (October 2015)PowerLinks विज्ञापन चलाते हैं ।

यह समस्या PowerLink की ओर से सामान्य लापरवाही के कारण है

हम यहां जो काम कर रहे हैं वह सादा लापरवाही है। ये एसएसएल(SSL) प्रमाणपत्र कुछ दिनों या एक महीने के लिए समाप्त नहीं हुए हैं। 2015 से उनकी समय-सीमा समाप्त हो चुकी है और PowerLinks उन प्रकाशनों के ऑनलाइन प्रकाशनों और पाठकों दोनों को सुरक्षित विज्ञापन समाधान प्रदान करने का अपना काम नहीं कर रही है। उनकी तकनीकी टीम ने यह नहीं देखा कि उनका विज्ञापन मंच एसएसएल(SSL) प्रमाणपत्रों का उपयोग करता है जो वर्षों से समाप्त हो चुके हैं और लाखों पाठकों को जोखिम में डालते हुए इस समस्या को हल करने के लिए कुछ नहीं किया। क्या(Did) मालवेयर क्रिएटर्स ने इस समस्या का फायदा उठाया? यह एक अच्छा प्रश्न है, और हमें यकीन नहीं है कि PowerLinks उत्तर दे सकता है या नहीं। अंत में, उन्होंने समाप्ति तिथियों जैसी बुनियादी बातों का भी ध्यान नहीं रखा।

किन(Which) सुरक्षा उत्पादों ने मुझे इस समस्या का पता लगाने में मदद की?

पहली बार मुझे यह समस्या तब मिली जब मैं कुछ वेबसाइटों को नेविगेट कर रहा था जिनका मैंने पहले उल्लेख किया था और अपने एंटीवायरस के रूप में ईएसईटी स्मार्ट सुरक्षा का उपयोग किया था।(ESET Smart Security)

पावरलिंक, विज्ञापन, एसएसएल, समाप्त हो गया

इस समस्या की पुष्टि Kaspersky Total Security द्वारा भी की गई थी , जैसा कि आप नीचे देख सकते हैं।

पावरलिंक, विज्ञापन, एसएसएल, समाप्त हो गया

हमें खुशी है कि इन उत्पादों ने हमें सूचित करने और हमें PowerLinks विज्ञापन प्लेटफ़ॉर्म की सुरक्षा कमजोरियों से सुरक्षित रखने में अपना काम किया और हमें यह जानने में मदद की कि क्या हो रहा है। यह और सबूत है कि आपको हमेशा एक तृतीय-पक्ष एंटीवायरस उत्पाद स्थापित करना चाहिए और असुरक्षित, वेब ब्राउज़ करना बंद कर देना चाहिए। यदि आप वेब को असुरक्षित रूप से ब्राउज़ करने में शामिल जोखिमों के बारे में अधिक जानने के लिए उत्सुक हैं, तो हमारे द्वारा चलाए गए इस प्रयोग को पढ़ें: मुफ्त सामग्री के लिए वेब ब्राउज़ करते समय अपने विंडोज पीसी को कैसे संक्रमित करें(How to infect your Windows PC while browsing the web for free stuff)

इस सुरक्षा समस्या से प्रभावित पाठकों और प्रकाशनों की सहायता के लिए हमने क्या किया?

सबसे पहले(First) हमने इस मामले पर सभी को जानकारी देने के लिए यह लेख लिखा है। हमने आधिकारिक टिप्पणी के लिए पावरलिंक्स(PowerLinks) से भी पूछा । हालांकि, उनका आधिकारिक संपर्क ई-मेल काम नहीं करता है, और हमें केवल एक डिलीवरी स्थिति अधिसूचना विफलता(Status Notification Failure) प्राप्त हुई है , जिसे आप नीचे देख सकते हैं।

पावरलिंक, विज्ञापन, एसएसएल, समाप्त हो गया

हमने यह लेख उन सभी मीडिया प्रकाशनों को भेजा है जो हमें प्रभावित हुए हैं, साथ ही PowerLinks को भी , उनके सोशल मीडिया चैनलों का उपयोग करते हुए। हमें उम्मीद है कि वे हमारे संदेश को नज़रअंदाज़ नहीं करेंगे और इस समस्या को ठीक करने के उपाय करेंगे।

UPDATE (03/21/2017):पॉवरलिंक्स(PowerLinks) पर भेजने में कामयाब रहे , और हमें ब्रैंडन स्माइथ(Branden Smythe) , वीपी बिजनेस डेवलपमेंट(VP Business Development) से निम्नलिखित उत्तर प्राप्त हुआ :

"मुझे नोटिस मिला है कि आप PowerLinks तक पहुंच गए हैं। हम जल्द ही आपके द्वारा पोस्ट की गई चिंताओं का समाधान करेंगे।"("I received notice that you reached out to PowerLinks. We will address the concerns you posted shortly.")

आज, हमने उन वेबसाइटों की फिर से जाँच की जहाँ हमें उन मुद्दों का पता चला है जिनका हमने वर्णन किया था और चीजें अब अच्छी तरह से काम कर रही हैं। ऐसा लगता है कि PowerLinks ने सभी वेबसाइटों पर अपने विज्ञापन वितरण को सुरक्षित करने के लिए आवश्यक कदम उठाए हैं, जो बहुत अच्छा है। उम्मीद है(Hopefully) , वे इस समस्या से सीखेंगे और एसएसएल(SSL) प्रमाणपत्रों की समाप्ति तिथि जैसी सुरक्षा मूलभूत बातों का बेहतर ध्यान रखेंगे।

अपने आप को असुरक्षित PowerLinks(PowerLinks) विज्ञापनों से बचाने के लिए आप क्या कर सकते हैं ?

यदि आपका सुरक्षा समाधान PowerLinks विज्ञापनों द्वारा उपयोग किए गए समय-सीमा समाप्त (PowerLinks)SSL प्रमाणपत्र के बारे में शिकायत कर रहा है , तो आपको उन्हें ब्लॉक कर देना चाहिए। यदि आपके पास एक एंटीवायरस नहीं है जो आपके रीयल-टाइम HTTP ट्रैफ़िक को स्कैन करता है, तो आपको इन वेबसाइटों को निजी ब्राउज़िंग मोड(private browsing modes) का उपयोग करके चलाना चाहिए जो असुरक्षित विज्ञापनों को भी ब्लॉक करते हैं या उन्हें ब्लॉक करने का कोई अन्य तरीका ढूंढते हैं। हम उन वेबसाइटों पर विज्ञापनों को अवरुद्ध करने के प्रशंसक नहीं हैं जिनका हमने उल्लेख किया है क्योंकि विज्ञापन वह है जो इन प्रकाशनों को सभी को बेहतरीन सामग्री प्रदान करने में सक्षम बनाता है। उम्मीद है, यह समस्या जल्द ही हल हो जाएगी, और हम सभी अपने पसंदीदा प्रकाशनों का सुरक्षित रूप से आनंद ले सकते हैं, उनके विज्ञापनों को अवरुद्ध किए बिना और उन्हें अपने काम से राजस्व अर्जित करने की अनुमति दिए बिना।



Harpreet Varughese

About the author

मैं 10 से अधिक वर्षों के अनुभव के साथ एक सॉफ्टवेयर डेवलपर हूं। मैं मैक प्रोग्रामिंग में विशेषज्ञ हूं और विभिन्न मैक अनुप्रयोगों के लिए कोड की कई हजार लाइनें लिखी हैं, जिनमें शामिल हैं, लेकिन इन तक सीमित नहीं हैं: टेक्स्टएडिट, गैराजबैंड, आईमूवी और इंकस्केप। मुझे लिनक्स और विंडोज विकास का भी अनुभव है। एक डेवलपर के रूप में मेरे कौशल ने मुझे विभिन्न सॉफ़्टवेयर विकास प्लेटफ़ॉर्म के लिए उच्च-गुणवत्ता, व्यापक ट्यूटोरियल लिखने की अनुमति दी है - macOS से Linux तक - मेरे ट्यूटोरियल को उन लोगों के लिए सही विकल्प बनाता है जो उनके द्वारा उपयोग किए जा रहे टूल के बारे में अधिक जानना चाहते हैं।


Related posts