23andMe ने कहा, credential stuffing हमले में उपयोगकर्ता डेटा चोरी हुआ

 (bleepingcomputer.com)
1 पॉइंट द्वारा GN⁺ 2023-10-08 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • अमेरिका की biotechnology और genomics कंपनी 23andMe ने अपने प्लेटफ़ॉर्म के उपयोगकर्ता डेटा से जुड़े data breach की पुष्टि की है.
  • कंपनी का कहना है कि यह data breach credential stuffing attack की वजह से हुआ.
  • शुरुआती डेटा लीक सीमित था, और threat actor ने Ashkenazi लोगों से संबंधित 10 लाख पंक्तियों का डेटा सार्वजनिक किया.
  • बाद में threat actor ने 23andMe अकाउंट के हिसाब से 1-10 डॉलर में बड़े पैमाने पर data profiles बेचने की पेशकश की.
  • उजागर हुए डेटा में पूरा नाम, username, profile photo, gender, जन्मतिथि, genetic ancestry results और भौगोलिक location शामिल हैं.
  • जिन अकाउंट्स से समझौता हुआ, वे प्लेटफ़ॉर्म के 'DNA Relatives' फीचर में शामिल थे, जो उपयोगकर्ताओं को genetic relatives खोजने और उनसे जुड़ने देता है.
  • threat actor ने 23andMe अकाउंट्स के एक छोटे हिस्से तक पहुंचने के बाद उनके DNA Relatives match डेटा को scrape किया.
  • 23andMe ने कहा कि इन access attempts में इस्तेमाल किए गए login credentials संभवतः अन्य online platforms पर हुए data breaches से threat actor ने जुटाए थे, जहां उपयोगकर्ताओं ने वही login credentials दोबारा इस्तेमाल किए थे.
  • कंपनी अतिरिक्त account protection उपाय के रूप में two-factor authentication उपलब्ध कराती है और सभी उपयोगकर्ताओं को इसे enable करने की सलाह देती है.
  • उपयोगकर्ताओं को सलाह दी गई है कि वे passwords का दोबारा उपयोग न करें और हर online account के लिए मजबूत और अलग credentials का लगातार उपयोग करें.

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2023-10-08
Hacker News की राय
  • 23andMe से उपयोगकर्ता डेटा की चोरी पहले से लीक हुए email/password डेटाबेस का साइट एक्सेस के लिए इस्तेमाल करने वाले credential stuffing attack की वजह से हुई थी.
  • समस्या इसलिए हुई क्योंकि लोग पासवर्ड दोबारा इस्तेमाल करते हैं और two-factor authentication को सक्रिय नहीं करते.
  • बिक्री के लिए उपलब्ध डेटा में email/password शामिल हैं, जो 23andMe पर काम करने वाले अन्य breaches से आए थे, साथ ही वह डेटा भी जो 23andMe के पास उन उपयोगकर्ताओं के बारे में था.
  • इस घटना ने "transitive permissions" या "network permissions" को लेकर चिंता बढ़ाई. इसका मतलब है कि एक व्यक्ति को access देने से दूसरे लोगों तक भी access मिल सकता है.
  • कुछ उपयोगकर्ता इन security चिंताओं के कारण genetic testing से बच रहे हैं.
  • यह अटकल है कि hackers ने सभी डेटा तक पहुंच बनाई, लेकिन खास तौर पर केवल 13 लाख Ashkenazi Jewish records ही लीक किए होंगे.
  • कुछ उपयोगकर्ताओं का मानना है कि जब तक डेटा को संभालने/सुरक्षित रखने में लापरवाही पर आपराधिक जिम्मेदारी तय नहीं होगी, ऐसे breaches होते रहेंगे.
  • 23andMe का law enforcement के साथ सहयोग और third-cousin DNA samples के आधार पर किसी व्यक्ति की पहचान करने की क्षमता, privacy को लेकर चिंताएं पैदा करती है.
  • genetic testing company 1Health.io का sensitive data की सुरक्षा में विफल रहने पर FTC को 75,000 डॉलर का जुर्माना देना, इस बात का सबूत माना जाता है कि सरकार privacy को गंभीरता से नहीं लेती.
  • रिपोर्ट है कि कुछ genealogy services उपयोगकर्ताओं से उनके 23andMe credentials मांगती हैं, जो दिखाता है कि इस सेक्टर की security कमजोर है.
  • इस घटना ने लोगों द्वारा अपनी genetic information को private companies पर भरोसे के साथ सौंपने को लेकर आलोचना पैदा की है.