1 पॉइंट द्वारा GN⁺ 2023-10-19 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • 23andMe यूज़र डेटा लीक पहली बार सामने आने के 2 हफ्ते बाद, उसी हैकर ने BreachForums पर 40 लाख लोगों का नया dataset जारी किया
  • Golem नाम के हैकर ने दावा किया कि नए dataset में Great Britain के यूज़र शामिल हैं, और इसमें “अमेरिका और पश्चिमी यूरोप में रहने वाले सबसे अमीर लोगों” की जानकारी भी है
  • TechCrunch ने पुष्टि की कि नए लीक हुए डेटा का कुछ हिस्सा सार्वजनिक किए गए 23andMe यूज़र और जेनेटिक जानकारी से मेल खाता है
  • 23andMe ने नए लीक की जानकारी मिलने के बाद डेटा की प्रामाणिकता की समीक्षा शुरू की है, और पहले यूज़र्स को पासवर्ड बदलने व multi-factor authentication सक्रिय करने की सलाह दी थी
  • असल घुसपैठ का तरीका, कुल लीक का पैमाना, और चोरी हुए डेटा के उपयोग का उद्देश्य अभी पुष्टि नहीं हुआ है, इसलिए 23andMe यूज़र्स के लिए अतिरिक्त जोखिम बना हुआ है

BreachForums पर जारी किया गया अतिरिक्त डेटा

  • Golem नाम के हैकर ने साइबरक्राइम फ़ोरम BreachForums पर 23andMe यूज़र जानकारी के 40 लाख रिकॉर्ड वाला नया dataset जारी किया
  • यह हैकर वही व्यक्ति है जिसने 2 हफ्ते पहले genetic testing कंपनी 23andMe से चुराए गए यूज़र डेटा का एक बंडल लीक किया था
  • TechCrunch ने पुष्टि की कि नए लीक हुए डेटा का कुछ हिस्सा सार्वजनिक किए गए 23andMe यूज़र और जेनेटिक जानकारी से मेल खाता है
  • Golem ने दावा किया कि इस dataset में Great Britain के लोगों की जानकारी शामिल है
    • उसने यह भी दावा किया कि सूची में “अमेरिका और पश्चिमी यूरोप में रहने वाले सबसे अमीर लोगों” का डेटा भी शामिल है
  • 23andMe के प्रवक्ता Andy Kill ने कहा कि कंपनी को नए लीक की जानकारी है और वह यह समीक्षा कर रही है कि डेटा वास्तव में 23andMe का है या नहीं

23andMe की घटना की व्याख्या और अकाउंट सुरक्षा कदम

  • 23andMe ने 6 अक्टूबर को घोषणा की कि हैकर ने कुछ यूज़र डेटा हासिल किया है, और समझाया कि हैकर ने credential stuffing का इस्तेमाल किया
    • credential stuffing एक तकनीक है जिसमें अन्य डेटा लीक से पहले ही सार्वजनिक हो चुके username/email और password combinations को आज़माया जाता है
  • घटना के जवाब में 23andMe ने यूज़र्स से पासवर्ड बदलने को कहा और multi-factor authentication सक्रिय करने की सिफारिश की
  • आधिकारिक incident response page के अनुसार, 23andMe ने “third-party forensic experts” की मदद से जांच शुरू की
  • कंपनी ने ग्राहकों के password reuse और वैकल्पिक फीचर DNA Relatives को घटना का कारण बताया
    • DNA Relatives ऐसा फीचर है जो genetic data match करने वाले दूसरे opt-in यूज़र्स का डेटा देखने देता है
    • यह फीचर चालू होने पर हैकर एक अकाउंट में घुसकर कई यूज़र्स का डेटा scrape कर सकता है

अब भी अनसुलझे सवाल

  • यह स्पष्ट नहीं है कि हैकर ने वास्तव में credential stuffing का इस्तेमाल किया या कोई दूसरी तकनीक अपनाई
  • चोरी हुए यूज़र डेटा की कुल मात्रा अभी ज्ञात नहीं है
  • यह भी पुष्टि नहीं हुई है कि हैकर डेटा का कैसे उपयोग करना चाहता है
  • संभव है कि यह घटना कई महीने पहले अंजाम दी गई हो या कम से कम शुरू हुई हो
    • 11 अगस्त को Hydra नाम के एक अन्य साइबरक्राइम फ़ोरम पर एक हैकर ने 23andMe यूज़र डेटा set का विज्ञापन दिया
    • TechCrunch के विश्लेषण के अनुसार, वह data set 2 हफ्ते पहले लीक हुए यूज़र रिकॉर्ड के कुछ हिस्से से मेल खाता है
    • Hydra के हैकर ने दावा किया कि उसके पास 23andMe यूज़र डेटा का 300TB है, लेकिन उसने कोई सबूत नहीं दिया
  • अभी तक डेटा लीक का पूरा दायरा स्पष्ट नहीं है, और 23andMe को भी अभी यह पता नहीं लगता कि कितना डेटा चोरी हुआ है

1 टिप्पणियां

 
GN⁺ 2023-10-19
Hacker News की राय
  • 23andMe द्वारा ग्राहकों के पासवर्ड दोबारा इस्तेमाल करने और DNA Relatives—एक opt-in फीचर जो आनुवंशिक रूप से मेल खाने वाले दूसरे प्रतिभागियों का डेटा देखने देता है—को दोष देना असल मुद्दे को धुंधला करने वाली बात है
    DNA Relatives के sharing options में पर्याप्त granularity नहीं है, और default रूप से सिर्फ करीब दो स्तर ही हैं, जो काफी नहीं है
    साथ ही 23andMe, DNA Relatives में शामिल लोगों में से केवल सबसे नजदीकी 1,500 लोगों को दिखाने की सीमा लगाता है; इस संरचना में अगर हैकर सिर्फ कुछ हजार account पर कब्जा कर लें, तो वे database के अधिकतर हिस्से से haplogroup, ethnicity origin predictions, नाम, profile, रिश्तेदारों की list और geographic origin की जानकारी इकट्ठा कर सकते थे
    यह 1,500 लोगों की सीमा सैद्धांतिक रूप से मददगार है, लेकिन हाल के कुछ समय में उस सीमा से बाहर के profile भी देखे जा सकते थे, और यह साफ नहीं है कि क्या वही exploit के तरीके का हिस्सा था

    • 23andMe के “DNA Relatives” page पर यह लिखा है: “अगर आप DNA Relatives feature में भाग लेने का विकल्प चुनते हैं, तो आपकी व्यक्तिगत पसंद के हिसाब से कई privacy options उपलब्ध हैं। पूरी privacy के लिए आप DNA Relatives से पूरी तरह opt out कर सकते हैं।”
      अगर पूरी privacy पाने के लिए opt out करना पड़ता है, तो समझ नहीं आता कि यह opt-in feature कैसे हुआ
      यहां पूरी privacy का क्या मतलब है, और यह reasonable expectation वाली privacy से कैसे अलग है, यह भी अस्पष्ट है
      मुझे कंपनी का यह दावा बेतुका लगता है कि यह feature opt-in है
    • सच में बेहद घटिया कंपनी है। stored data की सुरक्षा की जिम्मेदारी user की नहीं, बल्कि पूरी तरह कंपनी की होती है
      अगर user ने password reuse किया, तो वह एक account compromise होने की वजह हो सकती है, लेकिन company आसानी से यह सुनिश्चित कर सकती थी कि नुकसान आगे न फैले
    • समझ नहीं आता कि और companies reasonable request limits और abuse detection क्यों implement नहीं करतीं
      hacked accounts के एक bunch भर से लाखों लोगों का data scrape करना संभव नहीं होना चाहिए
    • दूसरा point काफी हद तक वैसा ही लगता है जैसे Cambridge Analytica ने Facebook data बड़े पैमाने पर leak किया था
      सोच रहा हूं कि क्या 23andMe CEO को भी अगले 10 साल Congress के चक्कर लगाने पड़ेंगे
    • आखिरकार यह बस DNA-based social network ही है
  • 23andMe इस्तेमाल करना मेरी जिंदगी के सबसे बड़े पछतावों में से एक है। privacy की परवाह शुरू करने से पहले, Amazon पर discount देखा और कर डाला
    delete request करने पर भी मुझे बिल्कुल भरोसा नहीं है कि वे वास्तव में मेरा data मिटाएंगे, और अगर मिटा भी दें तो पता नहीं वह data पहले ही किसी model या research में कहीं शामिल होकर जिंदा तो नहीं है
    मेरा data इस leak में शामिल था या नहीं, यह जानने का भी मन नहीं है। यह credit card या shopping data leak से अलग महसूस होता है
    इससे भी बुरी बात यह है कि मैंने लंबे समय से 23andMe में login नहीं किया, और बहुत संभव है कि यह उस समय का account हो जब मैं proper password security की परवाह नहीं करता था, इसलिए हैरानी नहीं होगी

    • शायद यह इतना मायने नहीं रखता। genetic matching models इतने primitive हैं कि उस data की बहुत ज्यादा value नहीं है
      Facebook और Google के पास लोगों को manipulate करने के लिए कहीं अधिक accurate तस्वीर है, और 23andMe जिज्ञासा से ज्यादा कुछ नहीं
      मेरा data भी शायद इस leak में रहा होगा, लेकिन मैं इसका पछतावा करने में जिंदगी का 1 second भी नहीं लगाऊंगा
      बस class-action lawsuit से कुछ मिलेगा या नहीं, यह देखना है। Experian hack की तरह अगर डाक से कोई बेहद छोटा check मिले, तो कम से कम coffee table पर रखने लायक एक चीज तो मिल जाएगी
    • मैंने भी जिज्ञासा में एक major service इस्तेमाल की थी, और अब तक वह भी hack हो चुकी होगी इसकी काफी संभावना है
      हालांकि मैंने pseudonym से register किया था, test kit अपने पिता को दी थी, और मेरी एक बुआ/मौसी ने भी test कराया था
      यह पूरी तरह accurate नहीं था, लेकिन curiosity मिटाने के लिए काफी था
      आखिरकार हर चीज कभी न कभी hack होती है। जैसे एक मशहूर hacker ने कहा था, जो भी कुछ कहा या लिखा जाता है, उसे मानकर चलना चाहिए कि वह कभी न कभी public information बन जाएगा
      जोड़ दूं कि कुछ लोग कहेंगे “आप अपने पिता के साथ ऐसा कैसे कर सकते हैं”, लेकिन अगर आप उन्हें जानते, तो समझते। वे लगभग off-grid रहते हैं और जल्द ही उनका निधन होने वाला है, और मेरी बुआ/मौसी पहले ही गुजर चुकी हैं
    • अगर “वह data किसी model या research में शामिल होकर जिंदा है” से आपका मतलब drug development या medical research जैसी चीजों से है, तो समझ नहीं आता कि इसमें बुरा क्या है
    • मेरी समझ में इस मामले की संरचना ऐसी है कि अगर आपने खुद गलती न भी की हो, तो भी गलती करने वाले किसी व्यक्ति से आपका रिश्तेदारी संबंध होना ही आपको लगभग शामिल कर देता है
    • क्या मतलब है कि आपने deletion request नहीं की? अगर delete किया होता, तो काफी संभावना है कि hacker के पास data नहीं होता
  • मैं इस लीक के पीड़ितों में से एक हूँ। तकनीकी रूप से समझदार हूँ, सुरक्षा भी अच्छी तरह जानता हूँ, और हर जगह अलग व सुरक्षित password इस्तेमाल करता हूँ
    यह कंपनी और इसकी बकवास जिम्मेदारी टालने की हरकत सचमुच घिनौनी है
    यह corporate doxxing से कम नहीं है। जब तक ऐसे मामलों में यूज़र्स के मुँह पर थूकने वाली बड़ी कंपनियों के अलग-अलग executives को व्यक्तिगत रूप से जिम्मेदार नहीं ठहराया जाएगा, यह दोहराता रहेगा
    क्योंकि तब तक उन्हें सच में परवाह करने की कोई बाध्यता नहीं है। हम बस पैसे कमाने की मशीन में डाला जाने वाला कच्चा माल हैं
    लीक से भी ज्यादा जवाबदेही की कमी गुस्सा दिलाती है
    comments में पीड़ितों को दोष देने वाला माहौल चौंकाने वाला है

    • 23andMe ऐसा विश्वास दिलाना चाहता लगता है कि उसके दसियों हजार ग्राहक accounts credential stuffing हमले में hack हुए
      अगर मान लें कि हर व्यक्ति के 1,500 matches हैं और रिश्तेदार overlap नहीं करते, तब भी leaked data के पैमाने, यानी करीब 1.4 करोड़ लोगों तक पहुँचने के लिए लगभग 10,000 accounts का सफलतापूर्वक hack होना जरूरी होगा
      असल में बहुत से लोगों के रिश्तेदार overlap करते हैं, इसलिए 10,000 से कहीं ज्यादा accounts पर हमला होना चाहिए था, और इस दौरान 23andMe को कुछ भी संदिग्ध बिल्कुल न दिखा हो। यह बहुत विश्वसनीय नहीं लगता
      23andMe दावा करता है कि इस लीक की मूल वजह credential stuffing है, लेकिन 2 महीने पहले Hydra Market पर पहली बार post करने वाले hackers ने दावा किया था कि उन्होंने 23andMe द्वारा academic और research partners को दी गई API को बस इस्तेमाल किया या उसका दुरुपयोग किया
      hackers ने दावा किया कि उनके पास raw data सहित 300TB data है, लेकिन उन्होंने अभी तक इस बात का सबूत नहीं दिया है कि attack का दायरा इतना बड़ा था। लेकिन अगर उनका दावा सही है, तो यह breach credential stuffing के बजाय API इस्तेमाल के दावे से ज्यादा मेल खाता है
      इसलिए अगर attackers ने जो पैमाना बताया वह सही है, तो credential stuffing की तुलना में कहीं अधिक संभावना है कि 23andMe की किसी API से पूरा data scrape किया गया। कोई partner researcher hack हुआ हो सकता है, या कोई API access control vulnerability रही हो—या अब भी हो—जिससे attacker सारा data फिर से scrape कर सका
      23andMe द्वारा दी जाने वाली API के बारे में ज्यादा जानकारी नहीं है, लेकिन RapidAPI पर एक मिली (https://rapidapi.com/23andme/api/23andme); अगर access control vulnerability या privilege escalation वाला user hack हुआ था, तो एक ही व्यक्ति को starting point बनाकर कई endpoints से data download किया जा सकता था, और relatives endpoint के जरिए recursively सभी रिश्तेदारों को follow करते हुए हर व्यक्ति को एक बार download किया जा सकता था। इसमें individual full genome endpoint तक है
      फिलहाल मैं 23andMe की defense line को लेकर बहुत संदेह में हूँ, लेकिन जब तक attacker raw data होने का सबूत सार्वजनिक नहीं करता, यह साबित करना मुश्किल है कि कंपनी वास्तविक attack scale के बारे में गलत है या झूठ बोल रही है। फिर भी API इस्तेमाल का दावा 23andMe द्वारा बताए गए तरीके से कहीं ज्यादा समझ में आता है, इसलिए यह बेहद चिंताजनक है
    • अजीब है कि OnlyFans creators अपने phenotype के video और audio भेजें तो लोगों को इतना स्वीकार्य लगता है, लेकिन 23andMe का लोगों को source code स्तर पर पकड़ लेना अश्लील नहीं माना जाता
    • अगर आपने अपना DNA data internet पर upload किया है, तो security fundamentals फिर से देखने का समय है
    • समझ नहीं आता कि तकनीकी जानकारी रखने वाला व्यक्ति ऐसे honeypot में क्यों शामिल हुआ। जानना चाहूँगा कि उसने किस भरोसे पर trust किया
    • क्या खरीदते समय fake name और prepaid debit card इस्तेमाल किया था? मुझे खुशी है कि मैंने ऐसा किया
      बेशक, अगर वे सच में चाहें तो platform इस्तेमाल करने वाले रिश्तेदारों के आधार पर मुझे trace कर सकते हैं
  • “23andMe ने ग्राहकों के password reuse को दोष दिया” कहा गया है, लेकिन उन्होंने इसे चाहे जैसे phrasing किया हो, यह ग्राहकों की नहीं, कंपनी की कमी है
    ग्राहक password reuse करते हैं और आगे भी करेंगे। अगर मामला संवेदनशील personally identifiable information का है, तो customer behavior बदलने की कोशिश करने के बजाय 2-factor authentication या Google SSO अनिवार्य करना कहीं आसान है

    • यह एक सेकंड के लिए भी मानना मुश्किल है कि किसी एक platform पर reused passwords की वजह से credential stuffing से लाखों accounts लुट गए
    • सहमत। वे email link verification कर सकते थे, जिसमें users को अपने तरफ से 2-factor authentication setup करने की जरूरत नहीं पड़ती
    • 2-factor authentication है तो सही, लेकिन बहुत संभव है कि millions accounts उस feature के आने से पहले बने हों और उनके users ने वापस login करके इसे setup न किया हो
      यह SMS से ज्यादा सुरक्षित authenticator app वाला तरीका है, लेकिन user adoption में ज्यादा friction डालता है, इसलिए adoption rate पर असर पड़ा होगा
    • यह multi-factor authentication enforce न कर पाने की विफलता है
  • अगर 23andMe को पता चले बिना ग्राहक data के 300TB leak हो गए, तो यह negligence लगता है। alarms होने चाहिए थे, है न

    • “Bob, इस महीने AWS bill इतना ज्यादा क्यों है… ओह damn”
    • अगर यह credential stuffing नहीं था, तो शायद volume anomaly detection से बचने के लिए प्रति IP हर दिन कुछ GB निकाले गए होंगे
      फिर भी 23andMe के पास customer storage में नई geographic location दिखाने वाली detection या controls होने चाहिए थे। क्योंकि हर customer का destination spoof किया गया होगा, ऐसा नहीं लगता
      या फिर admin-level account से data access करने पर भी audit trail और approval flow वाली authorization प्रक्रिया होनी चाहिए थी
  • paying customers को दोष देकर अपनी system security failure ढकने की कोशिश करना हैरान करने वाला है
    users को control नहीं कर सकते, लेकिन अपनी security posture को control कर सकते हैं। 23andMe management का attitude और judgment बेहद खराब है

    • ऐसी प्रतिक्रिया से जो रवैया झलकता है, वह data leak होने पर माफी का नहीं, बल्कि इस बात का अफसोस ज्यादा लगता है कि अब उस data से पैसे नहीं कमा पाएँगे
      23andMe का product users का DNA है, बस उसे पचाने में आसान रूप में खूबसूरती से package किया गया है
  • अगर credential stuffing से लाखों records चोरी हो गए और उसे detect नहीं किया गया, तो यह भी कंपनी के लिए कोई बेहतर excuse नहीं है
    कंपनियों को अपने actions की जिम्मेदारी लेते देखने से पहले शायद मेरी मौत हो जाएगी, इसलिए हैरानी भी नहीं होती

  • 23andMe तब आया था जब मैं high school में था, और हमारे एक science teacher ने पूरी class period लगाकर समझाया था कि इस service का इस्तेमाल कभी क्यों नहीं करना चाहिए
    ईमानदारी से कहूँ तो यह मेरी सुनी हुई सबसे मूल्यवान classes में से एक थी, और उसकी वजह से मैंने इसके आसपास जाने का भी कभी नहीं सोचा
    मुझे लगता है data privacy को school के अनिवार्य health subject जैसी किसी चीज में शामिल करना चाहिए। हालांकि तय curriculum शायद lobbying से बिगड़ जाएगा और वास्तव में मूल्यवान चीजें नहीं सिखाई जाएँगी

    • समझ नहीं आता कि वह lecture इतना मूल्यवान क्यों था। और यह भी नहीं कि किसी और के लिए 23andMe इस्तेमाल करना जीवन का सबसे बड़ा पछतावा क्यों होगा
      DNA में निजी क्या है
  • संबंधित हालिया पोस्ट:
    23andMe Sued over Hack of Genetic Data Affecting Thousands - https://news.ycombinator.com/item?id=37895586 - अक्टूबर 2023, 20 टिप्पणियां
    Who hacked 23andMe for our DNA – and why? - https://news.ycombinator.com/item?id=37886543 - अक्टूबर 2023, 3 टिप्पणियां
    23andMe Accounts Hijacked and Data Put Up for Sale on Hacker Forum - https://news.ycombinator.com/item?id=37810755 - अक्टूबर 2023, 2 टिप्पणियां

  • “genetic testing कंपनियां जिस प्रकार की जानकारी इकट्ठा करती हैं, वह फिलहाल अमेरिका के health information protection law HIPAA के तहत सुरक्षित नहीं है।”
    लगता है genetic testing इंडस्ट्री के lobbyists ने अपना काम बखूबी किया है

    • अगर भौतिक DNA protected health information है, तो जहां-जहां हम DNA छोड़ते हैं, उन सभी जगहों पर डॉक्टर के क्लिनिक जैसी security होनी चाहिए
      लेकिन DNA का analysis करके सामने आने वाला data, जैसे किसी genetic disease की मौजूदगी, protected health information होना चाहिए
      सिर्फ एक बाल को process कर देने की वजह से “protected health information नहीं” से “अब protected health information है” में बदल जाना अजीब है
      “किस point से यह protected health information बनता है” शायद जवाब देने में मुश्किल सवाल होगा
      निजी तौर पर मुझे लगता है कि DNA से जुड़े data protection के लिए HIPAA से अलग एक अलग framework चाहिए
    • क्या इसका कोई आधार है? क्या वास्तव में कभी इसकी समीक्षा हुई थी, या यह बस मनगढ़ंत है