23andMe ने credential stuffing के जरिए user data चोरी होने की पुष्टि की
(bleepingcomputer.com)- जेनेटिक टेस्टिंग सेवा 23andMe का user data hacker forum पर circulate हो रहा था, और कंपनी इसका कारण password reuse को निशाना बनाने वाली credential stuffing मान रही है
- हमलावरों ने अन्य online platforms के breaches में expose हुई login information से 23andMe.com accounts तक access किया, और कंपनी ने बताया कि अभी तक उसके internal systems में breach के कोई संकेत नहीं हैं
- expose हुई items में वास्तविक नाम, username, profile photo, gender, date of birth, genetic ancestry results, geographic location जैसी highly personally identifiable information शामिल है
- शुरुआती sample Ashkenazi लोगों के data की 10 लाख rows था, जिसके बाद 4 अक्टूबर को प्रति account 1–10 dollars की कीमत पर bulk sale offer आया
- DNA Relatives feature चालू रखने वाले accounts का matching data scrape हो गया, जिससे पता चलता है कि opt-in social features अप्रत्याशित privacy exposure route बन सकते हैं
Hacker forum पर मिली 23andMe data की जानकारी
- 23andMe को पता है कि उसके platform users का data hacker forum पर circulate हो रहा है, और वह इसे credential stuffing attack से हुई leak मान रही है
- यह कंपनी एक अमेरिकी biotechnology और genomics company है, जो ग्राहकों द्वारा saliva sample lab में भेजने पर ancestry और genetic predisposition reports देती है
- एक threat actor ने genetics company से चोरी किए गए data sample को प्रकाशित करने का दावा किया, और कुछ दिन बाद 23andMe customer data packs बेचने की पेशकश की
Credential stuffing और कंपनी का पक्ष
- 23andMe के spokesperson ने पुष्टि की कि forum पर डाला गया data वास्तविक 23andMe data है
- समझा जा रहा है कि हमलावरों ने अन्य breaches में expose हुए credentials का उपयोग करके 23andMe accounts तक access किया और sensitive data चुराया
- कंपनी ने कहा कि फिलहाल उसके अपने systems के भीतर data security incident होने के कोई संकेत नहीं हैं
- शुरुआती जांच के अनुसार, संभव है कि users द्वारा कई online platforms पर reuse की गई login information किसी अन्य incident में leak होने के बाद attackers ने इकट्ठा की हो
Leak और sale हुए data का scope
- शुरुआती तौर पर public किया गया data सीमित था, लेकिन threat actor ने Ashkenazi लोगों के data की 10 लाख rows प्रकाशित कीं
- 4 अक्टूबर को, खरीद मात्रा के आधार पर 23andMe account प्रति 1–10 dollars की कीमत पर data profiles bulk में बेचने की पेशकश की गई
- expose हुई information में ये items शामिल हैं
- पूरा नाम
- username
- profile photo
- gender
- date of birth
- genetic ancestry results
- geographic location
DNA Relatives feature के जरिए फैलाव
- बेचे गए accounts की संख्या, expose credentials से compromise हुए 23andMe accounts की संख्या से हूबहू match नहीं करती
- compromise हुए accounts में 23andMe का DNA Relatives feature चालू था
- DNA Relatives ऐसा feature है जो users को genetic relatives खोजने और उनसे connect करने की सुविधा देता है
- हमलावरों ने 23andMe के कुछ accounts तक access करने के बाद, उन accounts के DNA Relatives matching data को scrape किया
- यह मामला दिखाता है कि किसी खास feature में भागीदारी अप्रत्याशित privacy exposure का कारण बन सकती है
Users क्या protective steps ले सकते हैं
- 23andMe account protection के लिए 2-step verification देता है, और सभी users को इसे enable करने की सलाह देता है
- इससे जुड़ी guidance Adding 2-Step Verification to Your 23andMe Account पर देखी जा सकती है
- Users को password reuse से बचना चाहिए, और हर online account के लिए मजबूत और अलग-अलग credentials इस्तेमाल करने चाहिए
1 टिप्पणियां
Hacker News की रायें
अगर मैं गलत नहीं पढ़ रहा, तो लगता है कि किसी के पास पहले से लीक हुआ email/password database था, उसने उसे 23andMe पर आज़माया, और login हो जाने पर accessible data उठा लिया
यह सच है कि 23andMe के पास बहुत व्यापक और निजी data है, लेकिन ऐसा attack सचमुच किसी भी website पर किया जा सकता है
असल बात यह है कि लोगों ने password reuse किए और two-factor authentication भी enable नहीं किया
इसलिए जो database बिक्री पर है, वह बस दूसरे leaks से आए उन emails/passwords की सूची है जो 23andMe पर भी काम कर गए, और उन accounts में मौजूद 23andMe data की सूची है
सटीक तौर पर कहें तो इसे 23andMe का अपना breach कहना मुश्किल है
समझ नहीं आता कि नए IP से account login की अनुमति देते समय उन्होंने extra verification क्यों नहीं किया
उनके पास email था, तो कम से कम email-based two-factor authentication तो कर ही सकते थे, और जैसा दूसरों ने कहा, CAPTCHA भी attack को धीमा और महंगा बना सकता था
जहाँ मैं काम करता हूँ वहाँ दोनों इस्तेमाल होते हैं, इसलिए यह attack “सचमुच किसी भी website पर किया जा सकता है” वाली बात सही नहीं है
एक mature company, वह भी listed company, का लाखों accounts के पैमाने पर credential stuffing होने देना शर्मनाक है
जिन चीज़ों तक लोगों की पहुँच थी, उनमें सबसे अहम पूरा raw DNA profile था, और victims में से कई इसलिए expose हुए क्योंकि “Relatives” feature के लिए consent देने वाले लोगों से उनका data जुड़ा था, भले ही उनका अपना account सुरक्षित रहा हो
“two-factor authentication off होना” क्या “बहुत व्यापक और निजी data” के साथ coexist करने दिया जाना चाहिए?
निराशाजनक बात यह है कि यह attack बड़े पैमाने पर बहुत सफल रहा
कुछ websites पर ऐसे attacks scale पर चलाए जा सकते हैं, लेकिन अगर सही metrics चुनकर monitor और alert किए जाएँ, तो receiving side पर यह काफी noisy दिखने वाला pattern होता है
उन्होंने कहा, “फिलहाल हमारे systems के भीतर data security incident का कोई संकेत नहीं है”, लेकिन अगर वही system customer data निकालने के लिए इस्तेमाल हुआ और customer data बिकने के बाद ही उन्हें पता चला, तो सुधार की शुरुआत वहीं से होनी चाहिए
disclosure इतना देर से हुआ कि लगता है शायद उन्हें media inquiry के बाद ही पता चला होगा
Troy Hunt का hashed password database download करके login के समय check करें, और अगर password लीक हो चुका है तो user को email password reset flow में भेज दें
या API भी इस्तेमाल कर सकते हैं
यह बहुत आसान है, और मेरे हिसाब से करीब 2017 से accepted best practice रही है
इसके लिए 100% 23andMe जिम्मेदार है
https://haveibeenpwned.com/Passwords
सोचता हूँ क्या companies “transitive permissions” या “network permissions” को गंभीरता से फिर से देखना शुरू करेंगी
यह काफी हद तक वैसा ही है जैसा पहले Facebook के साथ बड़े स्तर पर हुआ था
मेरे पास अपने दोस्तों का सारा data देखने की permission थी, और पहले एक button दबाकर मैं request करने वाले किसी व्यक्ति को न सिर्फ अपनी जानकारी, बल्कि अपने दोस्तों की जानकारी भी दिखा सकता था
computer science के नजरिए से यह समझ में आता है: अगर मैं आपको अपना सारा data देखने देता हूँ, तो आप उसे आगे किसके साथ share करते हैं, इस पर मेरा control नहीं रहता
लेकिन इंसानी नजरिए से, ज्यादातर लोग यह नहीं सोचते कि मैंने आपको access दिया तो असल में पूरी दुनिया को access दे दिया
ऐसे network permissions उस data वाली company को बड़ा target बना देते हैं
क्योंकि attacker कुछ accounts hack करके ही exponentially ज्यादा data पा सकता है
मतलब वह scope जिसे author ने friends of friends को दिखाने के लिए set किया है
इस tweet के मुताबिक hackers ने पूरा data हासिल किया हो सकता है, लेकिन सिर्फ एक हिस्सा, यानी 13 लाख records, leak किया
बात यह है कि वह हिस्सा Ashkenazi Jewish data था
https://x.com/mattjay/status/1710370423311888724?s=20
Ashkenazi Jews यूरोप की बाकी populations की तुलना में genetic रूप से काफी isolated रहे हैं, और relatively छोटे founder group से शुरू हुए थे
इसलिए standard metrics के हिसाब से वे genetic रूप से एक-दूसरे के दूर के रिश्तेदार के रूप में detect होते हैं
यानी सामान्य 23andMe Ashkenazi Jewish customer को दूसरे customers की तुलना में कहीं ज्यादा relatives दिखते होंगे, और वह उतने ज्यादा profiles देख पा रहा होगा
इसलिए यह पूरे Ashkenazi data का leak होने की संभावना कम है
पूरा data होने का भी कोई evidence नहीं है
मुझे यह idea दिलचस्प लगता है, लेकिन ठीक इसी वजह से मैं ऐसी genetic testing से हमेशा बचता आया हूँ
पता चला कि इतना complex करने की जरूरत ही नहीं थी; बस लोगों से खुद डाक से भेजवा लो ;)
हालांकि अब लगता है जैसे पानी सिर से निकल चुका है
https://www.pbs.org/newshour/amp/science/dna-ancestry-search...
आगे भी ऐसी services शायद नहीं आज़माऊँगा
अब कई बार कह चुका हूं, लेकिन डेटा रखने और उसकी सुरक्षा में लापरवाही के लिए जब तक आपराधिक जिम्मेदारी नहीं बनेगी, तब तक ऐसी चीजें होती रहेंगी
कंपनियां परवाह नहीं करतीं, और PR में चाहे जो कहें, जब तक वे खुद सीधे जोखिम में नहीं आतीं, परवाह नहीं करेंगी
हर breach के बाद British Petroleum की तरह “हमें सच में बहुत अफसोस है” दोहराएंगी और लोगों को LifeLock खरीदकर दे देंगी
पूरी बकवास है
लेख के मुताबिक कंपनी breach नहीं हुई थी, बल्कि दूसरे breaches में उजागर हुए reused credentials इस्तेमाल करने वाले अलग-अलग accounts ही hack हुए थे
two-factor authentication होना चाहिए था, लेकिन मुझे नहीं लगता कि two-factor authentication न होना अपराध घोषित कर देना चाहिए
screenshot में दिखी site पर जाकर देखा तो कोई Philippines visit के समय के NATO leak material बताकर “PLANCTON, CRONOS, CA SIRIUS, EMADS, MCDS, B1NT वगैरह” बेच रहा था
2023 की Ukraine citizen database list भी एक और थी
CIA, प्लीज मुझे मत मारना! कसम से, मैंने बस संयोग से देख लिया था
खैर, अब फिर काम पर लौटना होगा
75 हजार डॉलर
बिना यह कहे दिखाने का तरीका कि सरकार privacy को गंभीरता से नहीं लेती
3 हफ्ते पहले genetic testing company 1Health.io ने संवेदनशील genetic और health data को ठीक से सुरक्षित न रखने, data पाने वाले customers को सूचना दिए या सहमति लिए बिना privacy policy को retroactively बदलने, और customers को यह झूठा भरोसा दिलाने के आरोपों को निपटाने के लिए FTC को 75 हजार डॉलर जुर्माना देने पर सहमति दी कि वे अपना data delete कर सकते हैं
उम्मीद है कंपनी पूरी तरह ढह जाए
न तो प्रतिबंधित genetic research हो रही है, न insurance premiums बढ़ रहे हैं, न इस information की वजह से ethnic cleansing हो रही है
identity theft और bank fraud के कुछ मामले होंगे, लेकिन आम तौर पर मौजूदा systems उन्हें संभाल सकते हैं
दूसरे end पर पकड़े जाते हैं
अगर बड़ा जुर्माना चाहते हैं तो बड़ा नुकसान साबित करना होगा
अगर privacy को सच में गंभीरता से लेते हैं तो समस्या ठीक करने के लिए 75 हजार डॉलर की मदद देनी चाहिए
engineering budget से 75 हजार डॉलर छीनेंगे तो वे और कम कर पाएंगे, और ज्यादा data leak होगा
“मजे के लिए” DNA sequencing के लिए भेजने के privacy impacts की बात करें तो 23andMe पहले से law enforcement के साथ सहयोग कर रहा है
data science भी इतनी अच्छी हो चुकी है कि, भले ही मैंने खुद कभी DNA sample न दिया हो, अगर मेरे किसी एक third cousin ने sample submit किया है तो मेरी identity का अनुमान लगाया जा सकता है
औसत व्यक्ति के करीब 200 third cousins होते हैं
मान लें मेरे 200 third cousins में से किसी एक ने 23andMe swab test किया, और फिर मैंने शायद देश के दूसरे छोर पर कोई crime किया
law enforcement ने DNA evidence collect किया
अब आगे क्या होता है
मेरी जानकारी में Leeds-Collins chart बनाने वाली genealogy services हैं, और वे users से 23andMe credentials मांगकर काम करती हैं
यह कुछ third-party banking services के users से सीधे bank credentials मांगने जैसा है
इस field में सचमुच बहुत खराब security practices हैं
शायद 23andMe मेरे पिता के account का password भेज सके, जिसे वे कई साल पहले खो चुके हैं और अब उनके पास email address भी नहीं है
अगर वहां है, तो उनके पास password भी हो सकता है