નિષ્ણાતો ચેતવણી આપતા સંવેદનશીલ ડેટા સાથે મોકલેલા ઇમેઇલ્સ હજી પણ અનક્રિપ્ટેડ વિતરિત કરી રહ્યાં છે, અને કોઈ પણ સૂચિત મિક્રોસ .ફ્ટ 365 જ્યારે એન્ક્રિપ્શન નિષ્ફળ જાય ત્યારે સાદા ટેક્સ્ટમાં ઇમેઇલ મોકલે છે, ALLGoogle વર્કસ્પેસ પર વપરાશકર્તાને ચેતવણી આપ્યા વિના, ચેતવણી આપનારાઓ અથવા નકારી કા of ્યા વિના અસુરક્ષિત TLS 1.0 અને 1.1 નો ઉપયોગ કરે છે અથવા સંદેશાને નકારી કા .્યા વિના,
મોટાભાગના વપરાશકર્તાઓ ધારે છે કે ક્લાઉડ સેવાઓ દ્વારા મોકલેલા ઇમેઇલ્સ ડિફ default લ્ટ રૂપે એન્ક્રિપ્ટેડ અને સુરક્ષિત છે, પરંતુ આ હંમેશાં કેસ ન હોઈ શકે, નવા સંશોધન દ્વારા દાવો કરવામાં આવ્યો છે.
એક અહેવાલ પૌરોક્સ માઇક્રોસ .ફ્ટ 365 અને ગૂગલ વર્કસ્પેસ બંનેને આ નિષ્ફળતાઓને ખોટી રીતે સૂચિત કર્યા વિના અથવા નિષ્ફળતાને લ log ગ કર્યા વિના, સંદેશાઓને ખુલ્લી મૂકવાની રીતથી ખોટી રીતે ખોટી રીતે મળી છે.
“અપ્રચલિત એન્ક્રિપ્શનનો ઉપયોગ સલામતીની ખોટી સમજ આપે છે કારણ કે એવું લાગે છે કે સંવેદનશીલ ડેટા સુરક્ષિત છે, તેમ છતાં તે ખરેખર નથી,” પૌબોક્સે કહ્યું.
તમને ગમે છે
ડિફોલ્ટ સેટિંગ્સ શાંતિથી એન્ક્રિપ્શનને નબળી પાડે છે
સમસ્યા ફક્ત તકનીકી ધારનો કેસ નથી; તે સામાન્ય પરિસ્થિતિઓમાં કાર્ય કરવા માટે આ પ્લેટફોર્મ્સ કેવી રીતે રચાયેલ છે તેનાથી તે ઉદભવે છે.
ગૂગલ વર્કસ્પેસ, અહેવાલમાં મળ્યું છે કે, જો પ્રાપ્ત સર્વર ફક્ત તે જૂના પ્રોટોકોલને સપોર્ટ કરે છે, તો TLS 1.0 અથવા 1.1 નો ઉપયોગ કરીને સંદેશા પહોંચાડવા પાછા આવશે.
માઇક્રોસ .ફ્ટ 5 365 એ અવમૂલ્યન TLS નો ઉપયોગ કરવાનો ઇનકાર કરે છે, પરંતુ ઇમેઇલને ncing છળવા અથવા પ્રેષકને ચેતવણી આપવાને બદલે, તે સંદેશને સાદા ટેક્સ્ટમાં મોકલે છે.
બંને કિસ્સાઓમાં, ઇમેઇલ પહોંચાડવામાં આવે છે, અને કોઈ ચેતવણી આપવામાં આવતી નથી.
આ વર્તણૂકો ગંભીર પાલન જોખમો ઉભો કરે છે, જેમ કે 2024 માં, માઇક્રોસ .ફ્ટ 365 એ આરોગ્યસંભાળ સંબંધિત ઇમેઇલ ભંગના 43% હિસ્સો છે.
દરમિયાન, આમાંની ઘણી સંસ્થાઓ પાલન આવશ્યકતાઓને પહોંચી વળવા માટે “ફોર્સ ટીએલએસ” સેટિંગ્સનો ઉપયોગ કરીને આમાંની ઘણી સંસ્થાઓ હોવા છતાં, ભંગ કરાયેલ આરોગ્યસંભાળની સંસ્થાઓના 31.1% લોકોએ ટી.એલ.
પરંતુ પૌબોક્સ નોંધે છે તેમ, TLS ને દબાણ કરવું એ TLS 1.2 અથવા 1.3 જેવા સુરક્ષિત સંસ્કરણોનો ઉપયોગ કરીને એન્ક્રિપ્શનની બાંયધરી આપતું નથી, અને જ્યારે તે શરતો પૂરી ન થાય ત્યારે શાંતિથી નિષ્ફળ જાય છે.
સાયલન્ટ એન્ક્રિપ્શન નિષ્ફળતાના પરિણામો દૂરના છે – હેલ્થકેર પ્રદાતાઓ નિયમિતપણે ઇમેઇલ પર સુરક્ષિત આરોગ્ય માહિતી (પીએચઆઈ) મોકલે છે, માઇક્રોસ .ફ્ટ 365 અને ગૂગલ વર્કસ્પેસ જેવા ટૂલ્સ ધારીને મજબૂત સંરક્ષણ આપે છે.
વાસ્તવિકતામાં, જ્યારે નિષ્ફળતા થાય છે ત્યારે કોઈ પણ પ્લેટફોર્મ આધુનિક એન્ક્રિપ્શનને લાગુ કરતું નથી, અને બંને તપાસ વિના HIPAA સલામતીનું ઉલ્લંઘન કરે છે.
યુએસમાં એનએસએના લોકો સહિત ફેડરલ માર્ગદર્શિકાઓએ નબળાઈઓ અને ડાઉનગ્રેડ જોખમોને કારણે લાંબા સમયથી TLS 1.0 અને 1.1 સામે ચેતવણી આપી છે.
છતાં ગૂગલ હજી પણ તે પ્રોટોકોલ પર ડિલિવરી કરવાની મંજૂરી આપે છે, જ્યારે માઇક્રોસ .ફ્ટ મુદ્દાને ધ્વજવંદન કર્યા વિના અનક્રિપ્ટેડ ઇમેઇલ્સ મોકલે છે.
બંને પાથ અદૃશ્ય પાલન નિષ્ફળતા તરફ દોરી જાય છે – એક દસ્તાવેજીકરણના ભંગમાં, સોલારા મેડિકલ સપ્લાયમાં 114,000 દર્દીઓના રેકોર્ડ્સના અનઇક્રિપ્ટેડ ઇમેઇલ્સનો ખુલાસો થયા પછી million 12 મિલિયનથી વધુ ચૂકવણી કરવામાં આવી હતી.
આ જેવા કિસ્સાઓ બતાવે છે કે શા માટે શ્રેષ્ઠ એફડબ્લ્યુએએએસ અથવા ઝેડટીએનએ સોલ્યુશનને બધી સંદેશાવ્યવહાર ચેનલોમાં દૃશ્યમાન, અમલમાં મૂકવા યોગ્ય એન્ક્રિપ્શન નીતિઓ સાથે કોન્સર્ટમાં કામ કરવું આવશ્યક છે.
“સ્પષ્ટતા વિના આત્મવિશ્વાસ એ જ સંગઠનોનો ભંગ થાય છે,” પૌબોક્સે તારણ કા .્યું.
