साइबरक्राइम फ़ोरम पर 23andMe यूज़र रिकॉर्ड के लाखों और डेटा लीक
(techcrunch.com)- 23andMe यूज़र डेटा लीक पहली बार सामने आने के 2 हफ्ते बाद, उसी हैकर ने BreachForums पर 40 लाख लोगों का नया dataset जारी किया
- Golem नाम के हैकर ने दावा किया कि नए dataset में Great Britain के यूज़र शामिल हैं, और इसमें “अमेरिका और पश्चिमी यूरोप में रहने वाले सबसे अमीर लोगों” की जानकारी भी है
- TechCrunch ने पुष्टि की कि नए लीक हुए डेटा का कुछ हिस्सा सार्वजनिक किए गए 23andMe यूज़र और जेनेटिक जानकारी से मेल खाता है
- 23andMe ने नए लीक की जानकारी मिलने के बाद डेटा की प्रामाणिकता की समीक्षा शुरू की है, और पहले यूज़र्स को पासवर्ड बदलने व multi-factor authentication सक्रिय करने की सलाह दी थी
- असल घुसपैठ का तरीका, कुल लीक का पैमाना, और चोरी हुए डेटा के उपयोग का उद्देश्य अभी पुष्टि नहीं हुआ है, इसलिए 23andMe यूज़र्स के लिए अतिरिक्त जोखिम बना हुआ है
BreachForums पर जारी किया गया अतिरिक्त डेटा
- Golem नाम के हैकर ने साइबरक्राइम फ़ोरम BreachForums पर 23andMe यूज़र जानकारी के 40 लाख रिकॉर्ड वाला नया dataset जारी किया
- यह हैकर वही व्यक्ति है जिसने 2 हफ्ते पहले genetic testing कंपनी 23andMe से चुराए गए यूज़र डेटा का एक बंडल लीक किया था
- TechCrunch ने पुष्टि की कि नए लीक हुए डेटा का कुछ हिस्सा सार्वजनिक किए गए 23andMe यूज़र और जेनेटिक जानकारी से मेल खाता है
- Golem ने दावा किया कि इस dataset में Great Britain के लोगों की जानकारी शामिल है
- उसने यह भी दावा किया कि सूची में “अमेरिका और पश्चिमी यूरोप में रहने वाले सबसे अमीर लोगों” का डेटा भी शामिल है
- 23andMe के प्रवक्ता Andy Kill ने कहा कि कंपनी को नए लीक की जानकारी है और वह यह समीक्षा कर रही है कि डेटा वास्तव में 23andMe का है या नहीं
23andMe की घटना की व्याख्या और अकाउंट सुरक्षा कदम
- 23andMe ने 6 अक्टूबर को घोषणा की कि हैकर ने कुछ यूज़र डेटा हासिल किया है, और समझाया कि हैकर ने credential stuffing का इस्तेमाल किया
- credential stuffing एक तकनीक है जिसमें अन्य डेटा लीक से पहले ही सार्वजनिक हो चुके username/email और password combinations को आज़माया जाता है
- घटना के जवाब में 23andMe ने यूज़र्स से पासवर्ड बदलने को कहा और multi-factor authentication सक्रिय करने की सिफारिश की
- आधिकारिक incident response page के अनुसार, 23andMe ने “third-party forensic experts” की मदद से जांच शुरू की
- कंपनी ने ग्राहकों के password reuse और वैकल्पिक फीचर DNA Relatives को घटना का कारण बताया
- DNA Relatives ऐसा फीचर है जो genetic data match करने वाले दूसरे opt-in यूज़र्स का डेटा देखने देता है
- यह फीचर चालू होने पर हैकर एक अकाउंट में घुसकर कई यूज़र्स का डेटा scrape कर सकता है
अब भी अनसुलझे सवाल
- यह स्पष्ट नहीं है कि हैकर ने वास्तव में credential stuffing का इस्तेमाल किया या कोई दूसरी तकनीक अपनाई
- चोरी हुए यूज़र डेटा की कुल मात्रा अभी ज्ञात नहीं है
- यह भी पुष्टि नहीं हुई है कि हैकर डेटा का कैसे उपयोग करना चाहता है
- संभव है कि यह घटना कई महीने पहले अंजाम दी गई हो या कम से कम शुरू हुई हो
- 11 अगस्त को Hydra नाम के एक अन्य साइबरक्राइम फ़ोरम पर एक हैकर ने 23andMe यूज़र डेटा set का विज्ञापन दिया
- TechCrunch के विश्लेषण के अनुसार, वह data set 2 हफ्ते पहले लीक हुए यूज़र रिकॉर्ड के कुछ हिस्से से मेल खाता है
- Hydra के हैकर ने दावा किया कि उसके पास 23andMe यूज़र डेटा का 300TB है, लेकिन उसने कोई सबूत नहीं दिया
- अभी तक डेटा लीक का पूरा दायरा स्पष्ट नहीं है, और 23andMe को भी अभी यह पता नहीं लगता कि कितना डेटा चोरी हुआ है
1 टिप्पणियां
Hacker News की राय
23andMe द्वारा ग्राहकों के पासवर्ड दोबारा इस्तेमाल करने और DNA Relatives—एक opt-in फीचर जो आनुवंशिक रूप से मेल खाने वाले दूसरे प्रतिभागियों का डेटा देखने देता है—को दोष देना असल मुद्दे को धुंधला करने वाली बात है
DNA Relatives के sharing options में पर्याप्त granularity नहीं है, और default रूप से सिर्फ करीब दो स्तर ही हैं, जो काफी नहीं है
साथ ही 23andMe, DNA Relatives में शामिल लोगों में से केवल सबसे नजदीकी 1,500 लोगों को दिखाने की सीमा लगाता है; इस संरचना में अगर हैकर सिर्फ कुछ हजार account पर कब्जा कर लें, तो वे database के अधिकतर हिस्से से haplogroup, ethnicity origin predictions, नाम, profile, रिश्तेदारों की list और geographic origin की जानकारी इकट्ठा कर सकते थे
यह 1,500 लोगों की सीमा सैद्धांतिक रूप से मददगार है, लेकिन हाल के कुछ समय में उस सीमा से बाहर के profile भी देखे जा सकते थे, और यह साफ नहीं है कि क्या वही exploit के तरीके का हिस्सा था
अगर पूरी privacy पाने के लिए opt out करना पड़ता है, तो समझ नहीं आता कि यह opt-in feature कैसे हुआ
यहां पूरी privacy का क्या मतलब है, और यह reasonable expectation वाली privacy से कैसे अलग है, यह भी अस्पष्ट है
मुझे कंपनी का यह दावा बेतुका लगता है कि यह feature opt-in है
अगर user ने password reuse किया, तो वह एक account compromise होने की वजह हो सकती है, लेकिन company आसानी से यह सुनिश्चित कर सकती थी कि नुकसान आगे न फैले
hacked accounts के एक bunch भर से लाखों लोगों का data scrape करना संभव नहीं होना चाहिए
सोच रहा हूं कि क्या 23andMe CEO को भी अगले 10 साल Congress के चक्कर लगाने पड़ेंगे
23andMe इस्तेमाल करना मेरी जिंदगी के सबसे बड़े पछतावों में से एक है। privacy की परवाह शुरू करने से पहले, Amazon पर discount देखा और कर डाला
delete request करने पर भी मुझे बिल्कुल भरोसा नहीं है कि वे वास्तव में मेरा data मिटाएंगे, और अगर मिटा भी दें तो पता नहीं वह data पहले ही किसी model या research में कहीं शामिल होकर जिंदा तो नहीं है
मेरा data इस leak में शामिल था या नहीं, यह जानने का भी मन नहीं है। यह credit card या shopping data leak से अलग महसूस होता है
इससे भी बुरी बात यह है कि मैंने लंबे समय से 23andMe में login नहीं किया, और बहुत संभव है कि यह उस समय का account हो जब मैं proper password security की परवाह नहीं करता था, इसलिए हैरानी नहीं होगी
Facebook और Google के पास लोगों को manipulate करने के लिए कहीं अधिक accurate तस्वीर है, और 23andMe जिज्ञासा से ज्यादा कुछ नहीं
मेरा data भी शायद इस leak में रहा होगा, लेकिन मैं इसका पछतावा करने में जिंदगी का 1 second भी नहीं लगाऊंगा
बस class-action lawsuit से कुछ मिलेगा या नहीं, यह देखना है। Experian hack की तरह अगर डाक से कोई बेहद छोटा check मिले, तो कम से कम coffee table पर रखने लायक एक चीज तो मिल जाएगी
हालांकि मैंने pseudonym से register किया था, test kit अपने पिता को दी थी, और मेरी एक बुआ/मौसी ने भी test कराया था
यह पूरी तरह accurate नहीं था, लेकिन curiosity मिटाने के लिए काफी था
आखिरकार हर चीज कभी न कभी hack होती है। जैसे एक मशहूर hacker ने कहा था, जो भी कुछ कहा या लिखा जाता है, उसे मानकर चलना चाहिए कि वह कभी न कभी public information बन जाएगा
जोड़ दूं कि कुछ लोग कहेंगे “आप अपने पिता के साथ ऐसा कैसे कर सकते हैं”, लेकिन अगर आप उन्हें जानते, तो समझते। वे लगभग off-grid रहते हैं और जल्द ही उनका निधन होने वाला है, और मेरी बुआ/मौसी पहले ही गुजर चुकी हैं
मैं इस लीक के पीड़ितों में से एक हूँ। तकनीकी रूप से समझदार हूँ, सुरक्षा भी अच्छी तरह जानता हूँ, और हर जगह अलग व सुरक्षित password इस्तेमाल करता हूँ
यह कंपनी और इसकी बकवास जिम्मेदारी टालने की हरकत सचमुच घिनौनी है
यह corporate doxxing से कम नहीं है। जब तक ऐसे मामलों में यूज़र्स के मुँह पर थूकने वाली बड़ी कंपनियों के अलग-अलग executives को व्यक्तिगत रूप से जिम्मेदार नहीं ठहराया जाएगा, यह दोहराता रहेगा
क्योंकि तब तक उन्हें सच में परवाह करने की कोई बाध्यता नहीं है। हम बस पैसे कमाने की मशीन में डाला जाने वाला कच्चा माल हैं
लीक से भी ज्यादा जवाबदेही की कमी गुस्सा दिलाती है
comments में पीड़ितों को दोष देने वाला माहौल चौंकाने वाला है
अगर मान लें कि हर व्यक्ति के 1,500 matches हैं और रिश्तेदार overlap नहीं करते, तब भी leaked data के पैमाने, यानी करीब 1.4 करोड़ लोगों तक पहुँचने के लिए लगभग 10,000 accounts का सफलतापूर्वक hack होना जरूरी होगा
असल में बहुत से लोगों के रिश्तेदार overlap करते हैं, इसलिए 10,000 से कहीं ज्यादा accounts पर हमला होना चाहिए था, और इस दौरान 23andMe को कुछ भी संदिग्ध बिल्कुल न दिखा हो। यह बहुत विश्वसनीय नहीं लगता
23andMe दावा करता है कि इस लीक की मूल वजह credential stuffing है, लेकिन 2 महीने पहले Hydra Market पर पहली बार post करने वाले hackers ने दावा किया था कि उन्होंने 23andMe द्वारा academic और research partners को दी गई API को बस इस्तेमाल किया या उसका दुरुपयोग किया
hackers ने दावा किया कि उनके पास raw data सहित 300TB data है, लेकिन उन्होंने अभी तक इस बात का सबूत नहीं दिया है कि attack का दायरा इतना बड़ा था। लेकिन अगर उनका दावा सही है, तो यह breach credential stuffing के बजाय API इस्तेमाल के दावे से ज्यादा मेल खाता है
इसलिए अगर attackers ने जो पैमाना बताया वह सही है, तो credential stuffing की तुलना में कहीं अधिक संभावना है कि 23andMe की किसी API से पूरा data scrape किया गया। कोई partner researcher hack हुआ हो सकता है, या कोई API access control vulnerability रही हो—या अब भी हो—जिससे attacker सारा data फिर से scrape कर सका
23andMe द्वारा दी जाने वाली API के बारे में ज्यादा जानकारी नहीं है, लेकिन RapidAPI पर एक मिली (https://rapidapi.com/23andme/api/23andme); अगर access control vulnerability या privilege escalation वाला user hack हुआ था, तो एक ही व्यक्ति को starting point बनाकर कई endpoints से data download किया जा सकता था, और relatives endpoint के जरिए recursively सभी रिश्तेदारों को follow करते हुए हर व्यक्ति को एक बार download किया जा सकता था। इसमें individual full genome endpoint तक है
फिलहाल मैं 23andMe की defense line को लेकर बहुत संदेह में हूँ, लेकिन जब तक attacker raw data होने का सबूत सार्वजनिक नहीं करता, यह साबित करना मुश्किल है कि कंपनी वास्तविक attack scale के बारे में गलत है या झूठ बोल रही है। फिर भी API इस्तेमाल का दावा 23andMe द्वारा बताए गए तरीके से कहीं ज्यादा समझ में आता है, इसलिए यह बेहद चिंताजनक है
बेशक, अगर वे सच में चाहें तो platform इस्तेमाल करने वाले रिश्तेदारों के आधार पर मुझे trace कर सकते हैं
“23andMe ने ग्राहकों के password reuse को दोष दिया” कहा गया है, लेकिन उन्होंने इसे चाहे जैसे phrasing किया हो, यह ग्राहकों की नहीं, कंपनी की कमी है
ग्राहक password reuse करते हैं और आगे भी करेंगे। अगर मामला संवेदनशील personally identifiable information का है, तो customer behavior बदलने की कोशिश करने के बजाय 2-factor authentication या Google SSO अनिवार्य करना कहीं आसान है
यह SMS से ज्यादा सुरक्षित authenticator app वाला तरीका है, लेकिन user adoption में ज्यादा friction डालता है, इसलिए adoption rate पर असर पड़ा होगा
अगर 23andMe को पता चले बिना ग्राहक data के 300TB leak हो गए, तो यह negligence लगता है। alarms होने चाहिए थे, है न
फिर भी 23andMe के पास customer storage में नई geographic location दिखाने वाली detection या controls होने चाहिए थे। क्योंकि हर customer का destination spoof किया गया होगा, ऐसा नहीं लगता
या फिर admin-level account से data access करने पर भी audit trail और approval flow वाली authorization प्रक्रिया होनी चाहिए थी
paying customers को दोष देकर अपनी system security failure ढकने की कोशिश करना हैरान करने वाला है
users को control नहीं कर सकते, लेकिन अपनी security posture को control कर सकते हैं। 23andMe management का attitude और judgment बेहद खराब है
23andMe का product users का DNA है, बस उसे पचाने में आसान रूप में खूबसूरती से package किया गया है
अगर credential stuffing से लाखों records चोरी हो गए और उसे detect नहीं किया गया, तो यह भी कंपनी के लिए कोई बेहतर excuse नहीं है
कंपनियों को अपने actions की जिम्मेदारी लेते देखने से पहले शायद मेरी मौत हो जाएगी, इसलिए हैरानी भी नहीं होती
23andMe तब आया था जब मैं high school में था, और हमारे एक science teacher ने पूरी class period लगाकर समझाया था कि इस service का इस्तेमाल कभी क्यों नहीं करना चाहिए
ईमानदारी से कहूँ तो यह मेरी सुनी हुई सबसे मूल्यवान classes में से एक थी, और उसकी वजह से मैंने इसके आसपास जाने का भी कभी नहीं सोचा
मुझे लगता है data privacy को school के अनिवार्य health subject जैसी किसी चीज में शामिल करना चाहिए। हालांकि तय curriculum शायद lobbying से बिगड़ जाएगा और वास्तव में मूल्यवान चीजें नहीं सिखाई जाएँगी
DNA में निजी क्या है
संबंधित हालिया पोस्ट:
23andMe Sued over Hack of Genetic Data Affecting Thousands - https://news.ycombinator.com/item?id=37895586 - अक्टूबर 2023, 20 टिप्पणियां
Who hacked 23andMe for our DNA – and why? - https://news.ycombinator.com/item?id=37886543 - अक्टूबर 2023, 3 टिप्पणियां
23andMe Accounts Hijacked and Data Put Up for Sale on Hacker Forum - https://news.ycombinator.com/item?id=37810755 - अक्टूबर 2023, 2 टिप्पणियां
“genetic testing कंपनियां जिस प्रकार की जानकारी इकट्ठा करती हैं, वह फिलहाल अमेरिका के health information protection law HIPAA के तहत सुरक्षित नहीं है।”
लगता है genetic testing इंडस्ट्री के lobbyists ने अपना काम बखूबी किया है
लेकिन DNA का analysis करके सामने आने वाला data, जैसे किसी genetic disease की मौजूदगी, protected health information होना चाहिए
सिर्फ एक बाल को process कर देने की वजह से “protected health information नहीं” से “अब protected health information है” में बदल जाना अजीब है
“किस point से यह protected health information बनता है” शायद जवाब देने में मुश्किल सवाल होगा
निजी तौर पर मुझे लगता है कि DNA से जुड़े data protection के लिए HIPAA से अलग एक अलग framework चाहिए