1 पॉइंट द्वारा GN⁺ 2023-10-08 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • जेनेटिक टेस्टिंग सेवा 23andMe का user data hacker forum पर circulate हो रहा था, और कंपनी इसका कारण password reuse को निशाना बनाने वाली credential stuffing मान रही है
  • हमलावरों ने अन्य online platforms के breaches में expose हुई login information से 23andMe.com accounts तक access किया, और कंपनी ने बताया कि अभी तक उसके internal systems में breach के कोई संकेत नहीं हैं
  • expose हुई items में वास्तविक नाम, username, profile photo, gender, date of birth, genetic ancestry results, geographic location जैसी highly personally identifiable information शामिल है
  • शुरुआती sample Ashkenazi लोगों के data की 10 लाख rows था, जिसके बाद 4 अक्टूबर को प्रति account 1–10 dollars की कीमत पर bulk sale offer आया
  • DNA Relatives feature चालू रखने वाले accounts का matching data scrape हो गया, जिससे पता चलता है कि opt-in social features अप्रत्याशित privacy exposure route बन सकते हैं

Hacker forum पर मिली 23andMe data की जानकारी

  • 23andMe को पता है कि उसके platform users का data hacker forum पर circulate हो रहा है, और वह इसे credential stuffing attack से हुई leak मान रही है
  • यह कंपनी एक अमेरिकी biotechnology और genomics company है, जो ग्राहकों द्वारा saliva sample lab में भेजने पर ancestry और genetic predisposition reports देती है
  • एक threat actor ने genetics company से चोरी किए गए data sample को प्रकाशित करने का दावा किया, और कुछ दिन बाद 23andMe customer data packs बेचने की पेशकश की

Credential stuffing और कंपनी का पक्ष

  • 23andMe के spokesperson ने पुष्टि की कि forum पर डाला गया data वास्तविक 23andMe data है
  • समझा जा रहा है कि हमलावरों ने अन्य breaches में expose हुए credentials का उपयोग करके 23andMe accounts तक access किया और sensitive data चुराया
  • कंपनी ने कहा कि फिलहाल उसके अपने systems के भीतर data security incident होने के कोई संकेत नहीं हैं
  • शुरुआती जांच के अनुसार, संभव है कि users द्वारा कई online platforms पर reuse की गई login information किसी अन्य incident में leak होने के बाद attackers ने इकट्ठा की हो

Leak और sale हुए data का scope

  • शुरुआती तौर पर public किया गया data सीमित था, लेकिन threat actor ने Ashkenazi लोगों के data की 10 लाख rows प्रकाशित कीं
  • 4 अक्टूबर को, खरीद मात्रा के आधार पर 23andMe account प्रति 1–10 dollars की कीमत पर data profiles bulk में बेचने की पेशकश की गई
  • expose हुई information में ये items शामिल हैं
    • पूरा नाम
    • username
    • profile photo
    • gender
    • date of birth
    • genetic ancestry results
    • geographic location

DNA Relatives feature के जरिए फैलाव

  • बेचे गए accounts की संख्या, expose credentials से compromise हुए 23andMe accounts की संख्या से हूबहू match नहीं करती
  • compromise हुए accounts में 23andMe का DNA Relatives feature चालू था
  • DNA Relatives ऐसा feature है जो users को genetic relatives खोजने और उनसे connect करने की सुविधा देता है
  • हमलावरों ने 23andMe के कुछ accounts तक access करने के बाद, उन accounts के DNA Relatives matching data को scrape किया
  • यह मामला दिखाता है कि किसी खास feature में भागीदारी अप्रत्याशित privacy exposure का कारण बन सकती है

Users क्या protective steps ले सकते हैं

  • 23andMe account protection के लिए 2-step verification देता है, और सभी users को इसे enable करने की सलाह देता है
  • इससे जुड़ी guidance Adding 2-Step Verification to Your 23andMe Account पर देखी जा सकती है
  • Users को password reuse से बचना चाहिए, और हर online account के लिए मजबूत और अलग-अलग credentials इस्तेमाल करने चाहिए

1 टिप्पणियां

 
GN⁺ 2023-10-08
Hacker News की रायें
  • अगर मैं गलत नहीं पढ़ रहा, तो लगता है कि किसी के पास पहले से लीक हुआ email/password database था, उसने उसे 23andMe पर आज़माया, और login हो जाने पर accessible data उठा लिया
    यह सच है कि 23andMe के पास बहुत व्यापक और निजी data है, लेकिन ऐसा attack सचमुच किसी भी website पर किया जा सकता है
    असल बात यह है कि लोगों ने password reuse किए और two-factor authentication भी enable नहीं किया
    इसलिए जो database बिक्री पर है, वह बस दूसरे leaks से आए उन emails/passwords की सूची है जो 23andMe पर भी काम कर गए, और उन accounts में मौजूद 23andMe data की सूची है
    सटीक तौर पर कहें तो इसे 23andMe का अपना breach कहना मुश्किल है

    • भले ही ऐसा हो, 23andMe को इसे बेहतर तरीके से रोकना चाहिए था
      समझ नहीं आता कि नए IP से account login की अनुमति देते समय उन्होंने extra verification क्यों नहीं किया
      उनके पास email था, तो कम से कम email-based two-factor authentication तो कर ही सकते थे, और जैसा दूसरों ने कहा, CAPTCHA भी attack को धीमा और महंगा बना सकता था
      जहाँ मैं काम करता हूँ वहाँ दोनों इस्तेमाल होते हैं, इसलिए यह attack “सचमुच किसी भी website पर किया जा सकता है” वाली बात सही नहीं है
      एक mature company, वह भी listed company, का लाखों accounts के पैमाने पर credential stuffing होने देना शर्मनाक है
    • मुझे नहीं लगता इसे ऐसे पढ़ना चाहिए
      जिन चीज़ों तक लोगों की पहुँच थी, उनमें सबसे अहम पूरा raw DNA profile था, और victims में से कई इसलिए expose हुए क्योंकि “Relatives” feature के लिए consent देने वाले लोगों से उनका data जुड़ा था, भले ही उनका अपना account सुरक्षित रहा हो
    • एक सवाल पूछा जा सकता है:
      two-factor authentication off होना” क्या “बहुत व्यापक और निजी data” के साथ coexist करने दिया जाना चाहिए?
    • यह बात सही है कि यह कोई sophisticated attack नहीं था
      निराशाजनक बात यह है कि यह attack बड़े पैमाने पर बहुत सफल रहा
      कुछ websites पर ऐसे attacks scale पर चलाए जा सकते हैं, लेकिन अगर सही metrics चुनकर monitor और alert किए जाएँ, तो receiving side पर यह काफी noisy दिखने वाला pattern होता है
      उन्होंने कहा, “फिलहाल हमारे systems के भीतर data security incident का कोई संकेत नहीं है”, लेकिन अगर वही system customer data निकालने के लिए इस्तेमाल हुआ और customer data बिकने के बाद ही उन्हें पता चला, तो सुधार की शुरुआत वहीं से होनी चाहिए
      disclosure इतना देर से हुआ कि लगता है शायद उन्हें media inquiry के बाद ही पता चला होगा
    • websites को known cracked passwords से मिलान करके credential stuffing को mitigate करना चाहिए
      Troy Hunt का hashed password database download करके login के समय check करें, और अगर password लीक हो चुका है तो user को email password reset flow में भेज दें
      या API भी इस्तेमाल कर सकते हैं
      यह बहुत आसान है, और मेरे हिसाब से करीब 2017 से accepted best practice रही है
      इसके लिए 100% 23andMe जिम्मेदार है
      https://haveibeenpwned.com/Passwords
  • सोचता हूँ क्या companies “transitive permissions” या “network permissions” को गंभीरता से फिर से देखना शुरू करेंगी
    यह काफी हद तक वैसा ही है जैसा पहले Facebook के साथ बड़े स्तर पर हुआ था
    मेरे पास अपने दोस्तों का सारा data देखने की permission थी, और पहले एक button दबाकर मैं request करने वाले किसी व्यक्ति को न सिर्फ अपनी जानकारी, बल्कि अपने दोस्तों की जानकारी भी दिखा सकता था
    computer science के नजरिए से यह समझ में आता है: अगर मैं आपको अपना सारा data देखने देता हूँ, तो आप उसे आगे किसके साथ share करते हैं, इस पर मेरा control नहीं रहता
    लेकिन इंसानी नजरिए से, ज्यादातर लोग यह नहीं सोचते कि मैंने आपको access दिया तो असल में पूरी दुनिया को access दे दिया
    ऐसे network permissions उस data वाली company को बड़ा target बना देते हैं
    क्योंकि attacker कुछ accounts hack करके ही exponentially ज्यादा data पा सकता है

    • क्या दोस्त की सारी जानकारी नहीं, बल्कि वही subset नहीं दिखता जो उस दोस्त ने share किया हो?
      मतलब वह scope जिसे author ने friends of friends को दिखाने के लिए set किया है
  • इस tweet के मुताबिक hackers ने पूरा data हासिल किया हो सकता है, लेकिन सिर्फ एक हिस्सा, यानी 13 लाख records, leak किया
    बात यह है कि वह हिस्सा Ashkenazi Jewish data था
    https://x.com/mattjay/status/1710370423311888724?s=20

    • अगर ऐसा है, तो कम संख्या में breached accounts से इतना ज्यादा data मिलने की वजह समझ आती है
      Ashkenazi Jews यूरोप की बाकी populations की तुलना में genetic रूप से काफी isolated रहे हैं, और relatively छोटे founder group से शुरू हुए थे
      इसलिए standard metrics के हिसाब से वे genetic रूप से एक-दूसरे के दूर के रिश्तेदार के रूप में detect होते हैं
      यानी सामान्य 23andMe Ashkenazi Jewish customer को दूसरे customers की तुलना में कहीं ज्यादा relatives दिखते होंगे, और वह उतने ज्यादा profiles देख पा रहा होगा
    • मैं 23andMe user हूँ और मेरी Ashkenazi ancestry काफी ज्यादा है, इसलिए मैंने सोचा था कि मेरा data भी leak हुआ होगा, लेकिन नहीं था
      इसलिए यह पूरे Ashkenazi data का leak होने की संभावना कम है
    • उस tweet में इसका कोई evidence नहीं है कि यह reused passwords के इस्तेमाल से ज्यादा कुछ था
      पूरा data होने का भी कोई evidence नहीं है
    • सौ साल जी लूँ तब भी शायद समझ नहीं पाऊँगा कि लोग Jews को लेकर इतने obsessed क्यों रहते हैं
    • फिर neo-Nazi terror, 2020s सच में बहुत बढ़िया हैं /s
  • मुझे यह idea दिलचस्प लगता है, लेकिन ठीक इसी वजह से मैं ऐसी genetic testing से हमेशा बचता आया हूँ

    • सिर्फ इतना ही नहीं, आपको अपने सभी relatives को भी test कराने से रोकना होगा
    • Simpsons में एक joke याद है, जहाँ Homer को पता चलता है कि government के पास हर किसी का DNA file में है, तो वह पूछता है, और जवाब कुछ ऐसा होता है, “1932 के बाद penny छूने वाला हर व्यक्ति”
      पता चला कि इतना complex करने की जरूरत ही नहीं थी; बस लोगों से खुद डाक से भेजवा लो ;)
    • मेरे साथ भी यही है, और काश इस data को protect करने के लिए regulation होता
      हालांकि अब लगता है जैसे पानी सिर से निकल चुका है
      https://www.pbs.org/newshour/amp/science/dna-ancestry-search...
    • क्या fake name से करना काफी नहीं होगा?
    • मेरे साथ भी वही
      आगे भी ऐसी services शायद नहीं आज़माऊँगा
  • अब कई बार कह चुका हूं, लेकिन डेटा रखने और उसकी सुरक्षा में लापरवाही के लिए जब तक आपराधिक जिम्मेदारी नहीं बनेगी, तब तक ऐसी चीजें होती रहेंगी
    कंपनियां परवाह नहीं करतीं, और PR में चाहे जो कहें, जब तक वे खुद सीधे जोखिम में नहीं आतीं, परवाह नहीं करेंगी
    हर breach के बाद British Petroleum की तरह “हमें सच में बहुत अफसोस है” दोहराएंगी और लोगों को LifeLock खरीदकर दे देंगी
    पूरी बकवास है

    • समझ नहीं आता कि 23andMe पर आपराधिक जिम्मेदारी क्यों होनी चाहिए
      लेख के मुताबिक कंपनी breach नहीं हुई थी, बल्कि दूसरे breaches में उजागर हुए reused credentials इस्तेमाल करने वाले अलग-अलग accounts ही hack हुए थे
      two-factor authentication होना चाहिए था, लेकिन मुझे नहीं लगता कि two-factor authentication न होना अपराध घोषित कर देना चाहिए
  • screenshot में दिखी site पर जाकर देखा तो कोई Philippines visit के समय के NATO leak material बताकर “PLANCTON, CRONOS, CA SIRIUS, EMADS, MCDS, B1NT वगैरह” बेच रहा था
    2023 की Ukraine citizen database list भी एक और थी
    CIA, प्लीज मुझे मत मारना! कसम से, मैंने बस संयोग से देख लिया था
    खैर, अब फिर काम पर लौटना होगा

    • वह site कौन-सी है?
  • 75 हजार डॉलर
    बिना यह कहे दिखाने का तरीका कि सरकार privacy को गंभीरता से नहीं लेती
    3 हफ्ते पहले genetic testing company 1Health.io ने संवेदनशील genetic और health data को ठीक से सुरक्षित न रखने, data पाने वाले customers को सूचना दिए या सहमति लिए बिना privacy policy को retroactively बदलने, और customers को यह झूठा भरोसा दिलाने के आरोपों को निपटाने के लिए FTC को 75 हजार डॉलर जुर्माना देने पर सहमति दी कि वे अपना data delete कर सकते हैं

    • packaging पर लिखी आत्ममुग्ध “welcome to you” line ही उल्टी जैसा महसूस कराने के लिए काफी है, और इस मामले में सिर्फ 75 हजार डॉलर
      उम्मीद है कंपनी पूरी तरह ढह जाए
    • ऐसे data के leak होने पर लोग अक्सर जो डरावने नतीजे गिनाते हैं, वे असल में दिख नहीं रहे
      न तो प्रतिबंधित genetic research हो रही है, न insurance premiums बढ़ रहे हैं, न इस information की वजह से ethnic cleansing हो रही है
      identity theft और bank fraud के कुछ मामले होंगे, लेकिन आम तौर पर मौजूदा systems उन्हें संभाल सकते हैं
      दूसरे end पर पकड़े जाते हैं
      अगर बड़ा जुर्माना चाहते हैं तो बड़ा नुकसान साबित करना होगा
    • हमेशा की तरह capitalism उल्टा चल रहा है
      अगर privacy को सच में गंभीरता से लेते हैं तो समस्या ठीक करने के लिए 75 हजार डॉलर की मदद देनी चाहिए
      engineering budget से 75 हजार डॉलर छीनेंगे तो वे और कम कर पाएंगे, और ज्यादा data leak होगा
  • “मजे के लिए” DNA sequencing के लिए भेजने के privacy impacts की बात करें तो 23andMe पहले से law enforcement के साथ सहयोग कर रहा है
    data science भी इतनी अच्छी हो चुकी है कि, भले ही मैंने खुद कभी DNA sample न दिया हो, अगर मेरे किसी एक third cousin ने sample submit किया है तो मेरी identity का अनुमान लगाया जा सकता है
    औसत व्यक्ति के करीब 200 third cousins होते हैं

    • क्या आप और समझा सकते हैं कि यह कैसे काम करता है
      मान लें मेरे 200 third cousins में से किसी एक ने 23andMe swab test किया, और फिर मैंने शायद देश के दूसरे छोर पर कोई crime किया
      law enforcement ने DNA evidence collect किया
      अब आगे क्या होता है
    • क्या law enforcement अपने collect किए गए DNA से 23andMe database में query भेज सकता है
  • मेरी जानकारी में Leeds-Collins chart बनाने वाली genealogy services हैं, और वे users से 23andMe credentials मांगकर काम करती हैं
    यह कुछ third-party banking services के users से सीधे bank credentials मांगने जैसा है
    इस field में सचमुच बहुत खराब security practices हैं

    • कुछ समय तक 23andMe OAuth2 API था और वह SNP को OAuth scope के तौर पर देता था, इसलिए उस हालात में यह और भी अफसोसजनक है
  • शायद 23andMe मेरे पिता के account का password भेज सके, जिसे वे कई साल पहले खो चुके हैं और अब उनके पास email address भी नहीं है

    • https://haveibeenpwned.com/ पर email lookup कर सकते हो
      अगर वहां है, तो उनके पास password भी हो सकता है