फ़्रांसीसी सरकारी एजेंसी ने हैकर द्वारा डेटा बेचने के प्रस्ताव के बीच breach की पुष्टि की

 (bleepingcomputer.com)
1 पॉइंट द्वारा GN⁺ 7 일 전 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • फ़्रांस के पहचान-पत्र और पंजीकरण दस्तावेज़ संभालने वाले ANTS पोर्टल में एक सुरक्षा घटना का पता चला, और व्यक्तिगत तथा पेशेवर अकाउंट डेटा उजागर हुआ हो सकता है
  • पुष्टि किए गए उजागर डेटा में login ID, नाम, email, जन्मतिथि और unique account identifier शामिल हैं, जबकि कुछ यूज़र्स के लिए पता, जन्मस्थान और फ़ोन नंबर भी शामिल हो सकते हैं
  • एजेंसी ने कहा कि केवल इस जानकारी से पोर्टल में unauthorized access संभव नहीं है, लेकिन इसका दुरुपयोग phishing और social engineering हमलों में हो सकता है, इसलिए SMS, फ़ोन और email के ज़रिए आने वाले संदिग्ध संपर्कों से सावधान रहने की ज़रूरत है
  • 24 अप्रैल को जारी अपडेट में प्रभावित अकाउंट्स की संख्या 1.17 करोड़ बताई गई, और जिन लोगों पर असर की पुष्टि हुई है उन्हें सूचित करने की प्रक्रिया भी जारी है
  • हैकर फ़ोरम पर breach3d ने हमले की ज़िम्मेदारी लेने का दावा करते हुए अधिकतम 1.9 करोड़ records बिक्री के लिए सूचीबद्ध किए, लेकिन लेख प्रकाशित होने तक डेटा व्यापक रूप से लीक नहीं हुआ था

breach की पुष्टि और प्रभाव का दायरा

  • France Titres, यानी ANTS, ने कहा कि ants.gouv.fr पोर्टल पर एक सुरक्षा घटना का पता चला है, और व्यक्तिगत व पेशेवर अकाउंट डेटा उजागर हुआ हो सकता है
    • यह एजेंसी फ़्रांस में आधिकारिक पहचान-पत्र और पंजीकरण दस्तावेज़ संभालती है, जिनमें driving licence, national ID card, passport और immigration documents शामिल हैं
    • हमला पिछले हफ़्ते हुआ था और जांच अभी जारी है, जबकि प्रभावित लोगों की संख्या का खुलासा नहीं किया गया
  • ANTS ने घोषणा की कि घटना का पता बुधवार, 15 अप्रैल 2026 को चला, और जिन लोगों के प्रभावित होने की पुष्टि हुई है उन्हें सूचित करने की प्रक्रिया चल रही है
    • ANTS घोषणा में घटना और सतर्कता संबंधी सलाह देखी जा सकती है
  • 24 अप्रैल को जारी अपडेट में प्रभावित अकाउंट्स की संख्या 1.17 करोड़ बताई गई

कौन-सा डेटा उजागर हुआ हो सकता है

  • ANTS ने कहा कि कई प्रकार की account information उजागर हुई हो सकती है
    • login ID
    • नाम
    • email address
    • जन्मतिथि
    • unique account identifier
  • कुछ यूज़र्स के लिए अतिरिक्त व्यक्तिगत पहचान संबंधी जानकारी भी शामिल हो सकती है
    • डाक पता
    • जन्मस्थान
    • फ़ोन नंबर
  • एजेंसी ने कहा कि केवल इस जानकारी से ANTS के electronic portal में unauthorized access नहीं किया जा सकता
    • लेकिन यही जानकारी phishing और social engineering हमलों में इस्तेमाल की जा सकती है, इसलिए सावधानी ज़रूरी है

यूज़र्स के लिए सलाह और प्रतिक्रिया

  • ANTS ने यूज़र्स से कोई अलग कार्रवाई करने को नहीं कहा, लेकिन एजेंसी का रूप धरकर भेजे गए संदिग्ध संदेशों या असामान्य संपर्कों को लेकर विशेष सावधानी बरतने को कहा
    • सतर्क रहने वाले माध्यमों में SMS, फ़ोन और email शामिल हैं
  • प्रतिक्रिया प्रक्रिया के तहत CNIL, पेरिस के public prosecutor और राष्ट्रीय cyber security एजेंसी ANSSI को सूचित किया गया
    • साथ ही चेतावनी दी गई कि डेटा की बिक्री या उसका प्रसार गैरकानूनी है

हैकर का बिक्री दावा

  • 16 अप्रैल को एक हैकर फ़ोरम पर breach3d नाम के threat actor ने ANTS पर हमले का दावा किया और कहा कि उसके पास अधिकतम 1.9 करोड़ records हैं
  • उस threat actor ने दावा किया कि चोरी किए गए डेटा में नाम, संपर्क जानकारी, जन्म संबंधी डेटा, घर का पता, account metadata, gender और marital status शामिल हैं
  • डेटा एक अघोषित रकम पर बिक्री पोस्ट में सूचीबद्ध है, इसलिए लेख प्रकाशित होने तक यह व्यापक रूप से लीक नहीं हुआ था
  • BleepingComputer ने इस दावे पर ANTS से सवाल पूछा, लेकिन लेख प्रकाशित होने तक कोई जवाब नहीं मिला

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 7 일 전
Hacker News की राय

  • अगर लीक हुई जानकारी सिर्फ नाम·जन्मतिथि·पता·फोन नंबर जैसी है, तो अब इसमें कुछ नया नहीं है
    पिछले 2~3 सालों में मेरी जानकारी भी कई बार पहले ही लीक हो चुकी है, और अगर कंपनियों या संस्थानों को सज़ा के नाम पर सिर्फ एक माफ़ी वाला ईमेल मिलता है, तो यह कभी नहीं बदलेगा

    • शुरू से ही सरकार को हर छोटी-सी कार्रवाई पर KYC थोपना नहीं चाहिए
      केला खरीदने या डिलीवरी मंगाने तक के लिए पहचान सत्यापन क्यों चाहिए, यह समझ नहीं आता, और जब लीक होना लगभग तय है तो KYC खुद ही उससे बड़ा गैरकानूनी काम लगता है
      मूल तर्क धोखाधड़ी और money laundering रोकना था, लेकिन असल में यह उन्हें ठीक से रोक भी नहीं पाया; "largest money laundering settlements" खोजेंगे तो बड़े बैंक और crypto fraud वैसे ही दिखेंगे
    • सरकारी संस्थाओं पर जुर्माना ज़्यादा असर नहीं करता
      आख़िरकार भुगतान टैक्स से ही होता है और कोई प्रोत्साहन भी नहीं बनता, इसलिए बेहतर होगा कि दूसरी एजेंसियों, अस्पतालों, बैंकों, infrastructure और बड़ी कंपनियों पर आक्रामक pentest करने वाली एक समर्पित सरकारी एजेंसी हो और उसे private sector स्तर का वेतन दिया जाए
      समस्याएँ ठीक करने के लिए कानूनी समयसीमा लागू होनी चाहिए, और private sector के लिए जुर्माना, public sector के लिए infosec ज़िम्मेदारों की पदावनति जैसी वास्तविक सज़ाएँ होनी चाहिए
      compliance checklist या KPMG-शैली के audit से कहीं बेहतर है कि सरकार-समर्थित हैकर असली हमलावरों की तरह घुसपैठ की कोशिश करें
      फ्रांस में पिछले 1 साल में कई स्तरों पर सरकारी hacking बहुत ज़्यादा हुई है, इसलिए यह और भी ज़रूरी है
    • 1 साल की मुफ्त credit monitoring भी छूटनी नहीं चाहिए
      ऐसे ऑफ़र इतने ज़्यादा मिल चुके हैं कि अगर सबमें signup कर लूँ तो लगेगा कि जिन जगहों पर hack होने की संभावना है, वहाँ मैं अपनी personal information दोगुनी फैला रहा हूँ
    • ऐसे लीक बार-बार देखकर local-first software पर फिर ध्यान जाता है, और https://lofi.so भी याद आता है
      बड़े पैमाने पर होने वाले लीक कम करने हैं तो पहले architecture स्तर पर यह सवाल उठाना होगा कि इतने विशाल centralized data store होने ही क्यों चाहिए
      भले सरकार के पास केंद्रीय authority रहे, फिर भी ऐसे storage तरीकों पर सोचा जा सकता है जो नुकसान का दायरा कम करें
      बेशक इसके खिलाफ़ बहुत-सी आपत्तियाँ होंगी, लेकिन अगर मौजूदा mainstream विकल्प सिर्फ निराशा और लाचारी हैं, तो प्रगति कम से कम किनारे पर हो रहे innovation से ही आ सकती है
    • क्या एक महीने की भी नहीं, मुफ्त credit monitoring तक नहीं मिलेगी?

  • आज मुझे ईमेल मिला कि मैं प्रभावित हुआ हूँ
    विडंबना यह है कि कुछ साल पहले बेरोज़गारी भत्ता एजेंसी से यही डेटा एक बार पहले ही लीक हो चुका था, इसलिए मेरी नज़र में कुछ बदला नहीं है
    नई नौकरी मिलने के बाद भी वह खाता न हटाना मेरी ही बेवकूफ़ी लगती है

    • रिकॉर्ड के लिए ईमेल की कॉपी होना अच्छा रहेगा
      तब वह Anthropic और OpenAI datasets में भी चली जाएगी :)
    • क्या यह ANTS की तरफ़ से आया है?
      मुझे अभी तक कुछ नहीं मिला

  • ऐसे हालात में भी इंटरनेट के लिए centralized ID को आगे बढ़ाते रहना हैरान करता है
    यह दुनिया भर के hacker groups और AI कंपनियों के लिए बस एक विशाल honeypot बनाता है, और व्यवहार में हर दूसरे महीने कोई न कोई लीक हो ही जाता है

  • अगर सरकार मेरी personal information को बेकार चीज़ की तरह ट्रीट करती है, तो मैं भी copyright वाली चीज़ों को मूल्यवान मानने वाला नहीं हूँ
    अगर information society बनानी है, तो सबसे महत्वपूर्ण समूह को नज़रअंदाज़ नहीं किया जा सकता

    • सिद्धांत के आधार पर सरकार से सीधे भिड़ना व्यवहारिक रूप से लगभग हारने वाली लड़ाई होगा
      बदलाव ज़रूरी हो तो भी, शायद उस तरीके से बेहतर रास्ते हों

  • अब ऐसा लगता है कि हम ransomware या data protection की चिंता वाले चरण से आगे निकल चुके हैं
    मान लेना चाहिए कि सबकी PII पहले ही लीक हो चुकी है, और ध्यान इस पर होना चाहिए कि सरकारी लाभ जैसी चीज़ों में ऑनलाइन पहचान सत्यापन कैसे किया जाए
    नीदरलैंड या जापान की national digital ID, या भारत के biometric authentication जैसे उदाहरण याद आते हैं, और सोचता हूँ कि अमेरिका आख़िर क्या चुनेगा

    • biometric data तो बस लीक होने वाली एक और चीज़ बढ़ा देता है, इसलिए यह लगभग सबसे बुरा विचार है
      इसका दुरुपयोग camera tracking जैसी चीज़ों में भी हो सकता है, इसलिए यह कहीं ज़्यादा संवेदनशील है; और यह समस्या तो बहुत पहले federated IdP और MFA से हल की जा सकती थी
      OTP device या physical token जैसे आपके पास मौजूद किसी चीज़ को SSN·tax number·password जैसी आपको पता होने वाली चीज़ के साथ जोड़ना काफ़ी है, लेकिन सरकारें आम तौर पर नागरिक privacy के उलट दिशा चाहती हैं, इसलिए उन्हें biometric data पसंद आता है
    • Sweden में लगभग सारी जानकारी डिफ़ॉल्ट रूप से सार्वजनिक है
      सिर्फ नाम पता हो तो घर का पता आसानी से मिल जाता है; जन्मतिथि, किसके साथ रहते हैं, बिल्डिंग का कौन-सा यूनिट है, कार·कुत्ता·मोबाइल contract है या नहीं, यह सब दिखता है
      थोड़ा पैसा देकर income record भी निकाला जा सकता है
      https://mrkoll.se/person/Jan-Martin-Harris-Harasym-Snapperupsgatan-5-Malmo/uerADYuquerAmUxadYQabTAQmkyqRaQcYfrkyqRaQdYQakyqRaQcYfr
      https://www.ratsit.se/19891030-Jan_Martin_Harris_Harasym_Malmo/tGpBumnyzRN6dMSEuZjNW1zYfMRBBy1KEgzIdASYnyU
      फिर भी किसी तरह व्यवस्था चल रही है
    • अभी हालात देखकर लगता है कि अमेरिकी समाधान आख़िरकार retina scan माँगने तक पहुँच जाएगा
      Target से एक पैंट ऑनलाइन खरीदने के लिए भी scan करना पड़ेगा, और वह डेटा मेरी voice print और driving license scan के साथ dark web पर पहुँच जाएगा
    • नीदरलैंड में सभी आधिकारिक सरकारी सेवाओं के लिए एक single ID है
      यह असल में सरकार द्वारा जारी username/password + MFA संरचना है, और smartphone से passport के NFC chip को scan करके पहचान सत्यापित करने का तरीका भी संभव है
      लेकिन यह data leak की समस्या को कैसे हल करता है, यह मुझे साफ़ नहीं है
    • फ्रांस में पहले से ऑनलाइन identity verification के कई साधन हैं
      France Connect SSO एक तरह का federated SSO है; डाकघर से पते और पहचान की पुष्टि के लिए code वाला पत्र भेजा जा सकता है, या व्यक्ति को खुद जाकर सत्यापन करना पड़ता है; या अगर आपके पास tax/social security account जैसा कोई एक physically verified account है, तो उसी से दूसरी सरकारी सेवाओं में login किया जा सकता है
      अलग से ऐसा app भी प्रस्तावित है जो physical ID के NFC chip को पढ़कर biometric data और selfie का मिलान करके authentication करे

  • लाइसेंस पर नई marking जोड़ने जैसे दस्तावेज़ बनाने या बदलने पर वे हर तरह की कल्पनीय ID copy माँगते रहे, और फिर वही लोग मेरा सारा डेटा लीक कर दें, यह ख़ास तौर पर विडंबनापूर्ण है
    लगता है कि उनके पास तो यह सब पहले से ही था

    • पहचान सत्यापित करने के लिए आखिर ID दिखाना और system में lookup करना ही पड़ता है
      इसलिए प्रक्रिया अपने आप में अजीब नहीं है; मूल टिप्पणी की समस्या मुझे ठीक से समझ नहीं आती

  • 1.9 करोड़ फ्रांसीसी, तो मैं भी उनमें हूँ

  • पुराने ढंग की bureaucracy के अपने फायदे थे
    इतने बड़े leak पैदा करना कहीं ज़्यादा मुश्किल था, और अगर हो भी जाए तो उसकी value बहुत कम होती थी
    उस व्यवस्था में प्रक्रिया का पालन और fraud रोकने के लिए काम करने वाले लोग लोकतांत्रिक भागीदारी को भी संभाले रखते थे
    जब सब जानते थे कि ऐसे सिस्टम आख़िरकार टूटेंगे ही, तो अब डिज़ाइन इस आधार पर होना चाहिए कि "जब breach होगा तब लोगों और संस्थाओं की रक्षा कैसे की जाए"
    चाहे कारण सुविधा हो, surveillance हो या authoritarianism, अगर हम इसी रास्ते पर चलते रहने वाले हैं, तो post-breach scenario की सही तैयारी करनी होगी

  • यह भी दिलचस्प है कि यह घटना ठीक उसके बाद हुई जब Microsoft और अमेरिकी कंपनियाँ कह रही थीं कि वे systems को आसानी से migrate करा सकती हैं
    शायद अगला साल ही सच में Linux desktop का साल हो

  • क्या ऐसा कोई तरीका नहीं हो सकता कि इस तरह के डेटा में इतना noise मिला दिया जाए कि वह बेकार हो जाए?
    सोचता हूँ क्या LLM इसमें मदद कर सकता है

    • अगर यह गंभीर सवाल है, तो जवाब नहीं है
      authoritative original database पहले ही compromise हो चुकी है, इसलिए हमलावर जानता है कि असली dataset कौन-सा है, और बाहर से मिलाया गया noise वह बस अनदेखा कर देगा