Microsoft द्वारा प्रमाणित हर चीज़ दूषित है

 (graz.social)
1 पॉइंट द्वारा GN⁺ 2023-09-30 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • यह लेख Microsoft के Azure cloud में एक बड़े security breach की चर्चा करता है, जिसमें बड़ी मात्रा में data से समझौता हुआ।
  • इस breach के कारण अमेरिकी विदेश विभाग के 10 खातों से 60,000 emails चुरा लिए गए।
  • लेखक का सुझाव है कि Microsoft द्वारा प्रमाणित हर चीज़, Windows सहित, इस breach के कारण संभावित रूप से दूषित हो सकती है।
  • लेखक Microsoft से जुड़े होने के कारण GitHub में संभावित compromise को लेकर भी चिंता जताता है।
  • लेखक ने कुछ hosts को NixOS पर migrate किया है, लेकिन GitHub पर गहरी निर्भरता के कारण इस OS की security को लेकर चिंता व्यक्त करता है।
  • लेखक बताता है कि Microsoft अपनी master keys में से एक खो बैठा, जिससे उनके cloud के महत्वपूर्ण हिस्से unlock हो गए और सभी MS services से जुड़ाव बन गया।
  • लेखक का कहना है कि समस्या को पूरी तरह ठीक करने के लिए Microsoft को अपनी पूरी infrastructure को शुरुआत से फिर से बनाना पड़ सकता है, लेकिन उसे संदेह है कि ऐसा होगा।
  • लेखक यह भी रेखांकित करता है कि यह breach केवल Microsoft और उसकी प्रत्यक्ष services को ही नहीं, बल्कि Azure के सभी customers और उनकी services को भी प्रभावित करता है।
  • लेख में इस breach के संभावित प्रभाव पर चर्चा शामिल है, जिसमें विभिन्न users अपनी चिंताएँ और राय व्यक्त करते हैं।

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2023-09-30
Hacker News राय
  • Microsoft के ब्लॉग पोस्ट में सुरक्षा घटना को कम करने के लिए उठाए गए कदमों का विस्तार से वर्णन है, जिसमें token refresh के दुरुपयोग को रोकना, प्राप्त MSA key से signed token के उपयोग को ब्लॉक करना, और threat actors को token forge करने से रोकने के लिए key को बदलना शामिल है.
  • Microsoft ने system isolation को मजबूत किया, monitoring को अधिक सूक्ष्म बनाया, और MSA signing key को अधिक सुरक्षित storage में स्थानांतरित किया.
  • कुछ उपयोगकर्ताओं ने Microsoft की कमजोर security practices की आलोचना की, खासकर AWS और GCP की तुलना में.
  • अन्य लोगों का कहना है कि यह breach गंभीर जरूर है, लेकिन शायद उतना व्यापक नहीं जितना सुझाव दिया गया है, और Microsoft ने systems को सुरक्षित करने के लिए कदम उठाए हैं.
  • घटना की reporting के अपर्याप्त होने और संभावित प्रभाव को लेकर चिंताएँ हैं, साथ ही इस बात की आलोचना भी है कि लीक हुई key, लीक होने के 2 साल बाद भी, अब तक token sign कर रही थी.
  • कुछ उपयोगकर्ताओं का सुझाव है कि cloud-based services की ओर हुआ बदलाव उलट सकता है, और लोग फिर से on-premises hardware तथा साधारण server hosting को प्राथमिकता दे सकते हैं.
  • breach के दायरे को लेकर बहस है; कुछ का कहना है कि cloud authentication का उपयोग करने वाले सभी Microsoft systems, जिनमें सभी Windows host भी शामिल हैं, प्रभावित हो सकते थे.
  • उपयोगकर्ताओं ने इस समस्या की जटिलता और इस बात पर चिंता जताई कि आम लोगों के लिए इसके प्रभाव को समझना कठिन हो सकता है.
  • कुछ लोगों का तर्क है कि नज़रिया बदलना चाहिए और यह स्वीकार करना चाहिए कि डिजिटल दुनिया में privacy और security की गारंटी नहीं है.
  • एक काल्पनिक परिदृश्य पेश किया गया है जो nation-state स्तर के cyber attack की संभावित गंभीरता दिखाता है, और यह सुझाव देता है कि ऐसे मामलों में Microsoft की प्रतिक्रिया पर्याप्त नहीं हो सकती.