23andMe ने पुष्टि की कि हैकर्स ने 69 लाख उपयोगकर्ताओं का ancestry data चुरा लिया

 (techcrunch.com)
1 पॉइंट द्वारा GN⁺ 2023-12-06 | 1 टिप्पणियां | WhatsApp पर शेयर करें

23andMe हैकिंग घटना: 69 लाख लोगों का ancestry data चोरी होने की पुष्टि

  • genetic testing कंपनी 23andMe ने घोषणा की कि हैकर्स ने ग्राहकों के निजी data तक पहुंच बनाई और लगभग 14,000 लोगों की व्यक्तिगत जानकारी तथा अन्य उपयोगकर्ताओं की ancestry से जुड़ी profile जानकारी वाले बड़ी संख्या में files तक पहुंच हासिल की।
  • हैकर्स ने 23andMe की DNA Relatives सुविधा के लिए सहमत लगभग 55 लाख लोगों की व्यक्तिगत जानकारी तक पहुंच बनाई, और चोरी हुए data में नाम, जन्म वर्ष, रिश्तेदारी label, रिश्तेदारों के साथ साझा DNA का प्रतिशत, ancestry reports, और self-reported location शामिल थे।
  • इसके अलावा, DNA Relatives सुविधा के लिए सहमत लगभग 14 लाख उपयोगकर्ताओं की family tree profile जानकारी भी एक्सेस की गई, जिसमें display name, रिश्तेदारी label, जन्म वर्ष, self-reported location, और information sharing status शामिल थे।

हैकर फोरम पर data leak का विज्ञापन

  • अक्टूबर की शुरुआत में, एक हैकर ने एक प्रसिद्ध hacking forum पर दावा किया कि उसने 23andMe उपयोगकर्ताओं की DNA जानकारी चुरा ली है, और 10 लाख Ashkenazi Jewish descendants तथा 1 लाख Chinese users का data जारी किया, साथ ही individual account data के लिए 1 डॉलर से 10 डॉलर तक की मांग की।
  • बाद में उसी हैकर ने उसी forum पर अतिरिक्त 40 लाख records का भी विज्ञापन किया, और TechCrunch ने पाया कि एक अन्य हैकर दो महीने पहले ही एक अलग hacking forum पर चोरी हुए 23andMe customer data का विज्ञापन कर चुका था।
  • TechCrunch द्वारा विश्लेषित कुछ महीने पहले लीक हुए data के हिस्से उन लोगों के records से मेल खाते थे जिन्होंने शौकिया तौर पर अपनी genetic information ऑनलाइन पोस्ट की थी, जिससे संकेत मिलता है कि हैकर द्वारा लीक किया गया data कम से कम आंशिक रूप से वास्तविक 23andMe customer data था।

password reuse की वजह से data leak

  • 23andMe ने अक्टूबर में जारी अपने incident disclosure में कहा कि data leak ग्राहकों द्वारा password reuse करने के कारण हुआ।
  • हैकर्स अन्य कंपनियों के data breaches में उजागर हुए passwords का इस्तेमाल करके victims के accounts को credential stuffing हमलों के जरिए hack कर पाए।
  • क्योंकि DNA Relatives सुविधा उपयोगकर्ताओं को उनके रिश्तेदारों से match करती है, इसलिए एक व्यक्ति का account hack होने पर सिर्फ account owner ही नहीं बल्कि उनके रिश्तेदारों का personal data भी देखा जा सकता था, जिससे प्रभावित लोगों की संख्या बढ़ गई।

GN⁺ की राय

इस लेख की सबसे महत्वपूर्ण बात यह है कि genetic testing service 23andMe एक बड़े data breach का शिकार हुई। इस घटना से सामने आया कि लगभग 69 लाख उपयोगकर्ताओं का ancestry data हैकर्स ने चुरा लिया, जो 23andMe के लगभग आधे ग्राहकों के बराबर है। यह data leak password reuse के कारण हुआ, जो एक बार फिर online security के महत्व की याद दिलाता है। यह लेख इसलिए दिलचस्प है क्योंकि यह दिखाता है कि किसी व्यक्ति की genetic information कितनी संवेदनशील हो सकती है, और यह कैसे गलत हाथों में जा सकती है। यह व्यक्तिगत privacy और cyber security के बारे में जन-जागरूकता बढ़ाने का एक अवसर बन सकता है।

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2023-12-06
Hacker News राय

  • गोपनीयता के महत्व पर

    • यह बताया गया कि किसी रिश्तेदार द्वारा 23andMe जैसी सेवाओं का उपयोग करके genomic data साझा करना, आपकी अपनी जानकारी के उजागर होने को प्रभावित करता है.
    • उम्मीद है कि behavioral data collection भी समान पृष्ठभूमि वाले अन्य लोगों को प्रभावित कर सकता है, इस पर लोग ध्यान देंगे.

  • 23andMe की Terms of Service अपडेट की समस्या

    • Thanksgiving पर घोषित Terms of Service अपडेट में class action मुकदमों पर रोक, कानूनी कार्रवाई से पहले 60 दिनों की अनौपचारिक प्रक्रिया, और binding arbitration की मांग शामिल है.
    • ऐसा लगता है कि 23andMe के वकीलों ने इसे इस तरह बनाया है कि ग्राहकों के पास व्यावहारिक रूप से लगभग कोई कानूनी अधिकार न बचे.

  • गोपनीयता के भविष्य को लेकर सवाल

    • machine learning algorithms इस दिशा में आगे बढ़ रहे हैं कि वे सिर्फ चाल से लोगों की पहचान कर सकें, और keyboard की आवाज़ से text decode कर सकें.
    • यह चिंता जताई गई कि public data और उन्नत algorithms के साथ मौजूदा स्तर की उचित गोपनीयता बनाए रखना कठिन होगा.

  • अस्पताल के DNA analysis program में शामिल होने के अनुरोध का अनुभव

    • अस्पताल ने पहले से एकत्र किए गए blood sample का उपयोग करके DNA analysis करने का प्रस्ताव दिया.
    • इसे अमेरिका में गोपनीयता कानूनों के लगभग न के बराबर होने का उदाहरण बताया गया, जबकि यूरोप में बिना सहमति sample को रखा नहीं जा सकता.

  • 23andMe data leak के आरोप

    • 14,000 accounts एक साथ compromise हुए, और hackers ने DNA Relatives फीचर के जरिए 6.9 million लोगों की personal information तक पहुंच बनाई.
    • इसका मतलब है कि प्रत्येक account में औसतन 492 unique relatives की जानकारी थी.

  • 23andMe सेवा के उपयोग पर व्यक्तिगत संदेह

    • hackers नहीं, बल्कि सरकार उस जानकारी का कैसे उपयोग करेगी, इस चिंता के कारण सेवा का उपयोग करने पर विचार नहीं किया गया.

  • 23andMe से जुड़ी हालिया news links

    • 2023 के दिसंबर और अक्टूबर में हुई 23andMe data leak और hacking घटनाओं से संबंधित news links दिए गए.

  • credential stuffing पर चर्चा

    • इस पर जोर दिया गया कि web application developers को credential stuffing के खिलाफ सुरक्षा उपाय करने चाहिए.
    • Troy Hunt के hashed password database का उपयोग एक अच्छे defense के रूप में उल्लेख किया गया.

  • data collection कंपनियों के hack होने की संभावना

    • यह राय व्यक्त की गई कि data collect करने वाली हर कंपनी अंततः hack की जाएगी.

  • 23andMe का उपयोग न करने वाले लोगों की class action संभावना

    • यह सवाल उठाया गया कि अगर किसी रिश्तेदार ने 23andMe का उपयोग किया हो, तो क्या फिर भी कोई व्यक्ति गोपनीयता पर अपने अधिकार का दावा कर सकता है.