1 पॉइंट द्वारा GN⁺ 2023-12-06 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • शुरुआत में सीधे तौर पर प्रभावित accounts की संख्या करीब 14,000 बताई गई थी, लेकिन DNA Relatives network के जरिए कुल असर बढ़कर 69 लाख लोगों तक पहुंच गया
  • लगभग 55 लाख opt-in users के नाम, जन्म वर्ष, relationship labels, रिश्तेदारों के साथ साझा DNA percentage, ancestry reports और self-reported location उजागर हुए
  • अलग से करीब 14 लाख लोगों की Family Tree profile जानकारी access की गई, जिसमें display name, relationship labels, location और जानकारी साझा करने की स्थिति आदि शामिल थे
  • 23andMe ने कहा कि ग्राहकों के password reuse की वजह से दूसरी services से leak हुए passwords के जरिए accounts तक access संभव हुआ
  • एक account के breach से जुड़े रिश्तेदारों की जानकारी उजागर होने लगी, जिससे प्रभावितों की संख्या 23andMe द्वारा बताए गए कुल 1.4 करोड़ ग्राहकों के लगभग आधे तक पहुंच गई

23andMe data breach बढ़कर 69 लाख लोगों तक पहुंचा

  • 23andMe ने शुक्रवार को घोषणा की कि hackers ने ग्राहकों के 0.1%, यानी करीब 14,000 लोगों के personal data तक access किया
  • उस समय कंपनी ने कहा था कि इन accounts के जरिए अन्य users की ancestry जानकारी वाली “काफी बड़ी संख्या” में files तक भी access किया जा सका, लेकिन प्रभावित “अन्य users” की संख्या सार्वजनिक नहीं की
  • बाद में 23andMe के प्रवक्ता ने पुष्टि की कि कुल प्रभावितों की संख्या 69 लाख है
  • यह संख्या 23andMe द्वारा बताए गए कुल 1.4 करोड़ ग्राहकों के लगभग आधे के बराबर है

DNA Relatives और Family Tree में उजागर हुई जानकारी

  • करीब 55 लाख लोग 23andMe के DNA Relatives feature के opt-in users थे
    • यह feature ग्राहकों को कुछ data दूसरे users के साथ automatically share करने देता है
    • hackers द्वारा access किए गए data में नाम, जन्म वर्ष, relationship label, रिश्तेदारों के साथ साझा DNA percentage, ancestry report और self-reported location शामिल थे
  • अन्य करीब 14 लाख DNA Relatives opt-in users की Family Tree profile जानकारी access की गई
    • शामिल जानकारी में display name, relationship label, जन्म वर्ष, self-reported location और user ने जानकारी साझा करने का विकल्प चुना था या नहीं, यह शामिल था
  • DNA Relatives users को रिश्तेदारों से match करने की संरचना पर आधारित है, इसलिए अगर एक account hack होता है तो account holder के साथ-साथ उससे जुड़े रिश्तेदारों का personal data भी उजागर हो सकता है
  • इसी connected structure ने सीधे breach हुए accounts की संख्या से कहीं बड़ा प्रभावित दायरा बना दिया

Hacking forum posts और data की असलियत के संकेत

  • अक्टूबर की शुरुआत में एक hacker ने एक प्रसिद्ध hacking forum पर दावा किया कि उसने 23andMe users की DNA जानकारी चुरा ली है
  • breach के सबूत के तौर पर उसने Ashkenazi Jewish ancestry वाले 10 लाख users और 1 लाख Chinese users का बताया गया data सार्वजनिक किया
  • उस hacker ने data को प्रति account 1–10 डॉलर में बेचने का प्रस्ताव दिया
  • दो हफ्ते बाद उसी hacker ने उसी hacking forum पर अतिरिक्त 40 लाख records बताए गए data का विज्ञापन किया
  • एक अलग hacking forum पर यह संकेत भी मिले कि व्यापक रूप से ज्ञात विज्ञापन से दो महीने पहले ही 23andMe customer data बताया गया एक bundle advertise किया जा चुका था
  • कई महीने पहले leaked data का विश्लेषण करने पर कुछ records hobby researchers और genealogists द्वारा online प्रकाशित genetic data से match हुए
    • दोनों data sets का format अलग था, लेकिन कुछ unique user data और general data समान थे
    • इस वजह से hacker द्वारा leak किया गया data कम से कम आंशिक रूप से वास्तविक 23andMe customer data होने की संभावना है

23andMe ने breach का कारण क्या बताया

  • अक्टूबर में breach disclosure के दौरान 23andMe ने ग्राहकों के password reuse को कारण बताया
  • hackers दूसरी कंपनियों के data breaches में सार्वजनिक हुए passwords का इस्तेमाल कर victims के accounts तक brute-force तरीके से access कर सके
  • एक account तक access DNA Relatives network के जरिए दूसरे users की जानकारी तक access में बदल गया, जिससे प्रभावित दायरा काफी बढ़ गया

1 टिप्पणियां

 
GN⁺ 2023-12-06
Hacker News की राय
  • यह घटना उस बात का एकदम सही जवाब है: “प्राइवेसी की इतनी चिंता क्यों? अगर मैं शेयर करूँ तो तुम पर क्या असर पड़ता है, और पसंद नहीं है तो मत करो।”
    अगर कोई रिश्तेदार 23andMe पर genomic जानकारी अपलोड करता है, तो मेरी पसंद से अलग भी मेरे बारे में जानकारी सामने आ जाती है।
    उम्मीद है लोग समझेंगे कि यही बात उन मामलों पर भी लागू होती है जहाँ समान पृष्ठभूमि वाले लोगों का behavioral data इकट्ठा किया जाता है।

    • मैं उस तर्क के जवाब से सहमत हूँ, लेकिन पता नहीं लोग सच में इस तरह बात करते भी हैं या नहीं।
      ज़्यादा आम बात बस यही होती है: “प्राइवेसी की इतनी चिंता क्यों?” और कई बार लोग शुरू से ही यह नहीं समझते कि प्राइवेसी महत्वपूर्ण क्यों है।
      यह मामला भी तब तक दूसरी data leak घटनाओं से ज़्यादा मजबूत जवाब बनना मुश्किल है, जब तक यह वास्तविक नुकसान न दिखाए।
      मैं जानना चाहूँगा कि इस बार जिन लोगों का ancestry-related data चोरी हुआ है, उनके साथ वास्तव में क्या हो सकता है।
    • मेरी नज़र में Equifax leak इससे बेहतर उदाहरण था।
      23andMe में कम से कम ग्राहक यह तय कर सकते थे कि सेवा इस्तेमाल करनी है या नहीं, और उसके फायदे-नुकसान तौल सकते थे। लेकिन Equifax में लोगों को एक ऐसे मूल्यांकन सिस्टम में मजबूरी में शामिल किया गया जो loan application से लेकर नौकरी के आवेदन तक असर डालता है, और third parties द्वारा बेचे गए data को खींचकर मेरी personal information रखी जाती है।
      leak के बाद भी कोई असरदार remedy नहीं थी, और identity theft की बहुत अधिक संभावना होने के बावजूद गलती मानने के बजाय बस औपचारिक सा ‘credit monitoring’ दिया गया।
      आखिरकार समस्या पैदा करने वाली credit rating agencies बिना सहमति के जानकारी शेयर और distribute करती रहती हैं, और फिर भी कोई ज़िम्मेदारी नहीं लेतीं।
      मुझे यह एक अज्ञानी और self-destructive तर्क लगता है, जिसमें प्राइवेसी को हल्के में लेने की लापरवाही दूसरों को भी और बुरी स्थिति में धकेल देती है।
    • मैं प्राइवेसी का समर्थन करता हूँ और ज़्यादातर लोगों से ज़्यादा असुविधा सहकर भी sharing से बचने की कोशिश करता हूँ, लेकिन व्यक्तिगत पसंद भी महत्वपूर्ण है।
      सिर्फ इसलिए कि किसी और की कुछ जानकारी मेरी जानकारी से आंशिक रूप से मिलती है, उसे अपनी जानकारी शेयर करने से रोक देने वाला privacy model मुझे आसानी से नहीं सूझता।
    • तकनीकी रूप से यह रिपोर्ट नहीं हुआ कि genomic data ही चोरी हुआ था।
      लगता है लीक हुआ data वंशावली और रिश्तेदारी से जुड़े data के ज्यादा करीब है।
      कहा गया है कि चोरी हुए data में नाम, जन्म वर्ष, relationship labels, रिश्तेदारों के साथ साझा DNA प्रतिशत, ancestry reports, और self-reported location शामिल थे।
    • सहमत।
      इसी तरह आप पूछ सकते हैं: “तुम्हारी income कितनी है?”, “क्या मैं तुम्हारी डाक पढ़ सकता हूँ?”, “क्या मैं तुम्हारे घर की चाबी ले सकता हूँ?”
      कुछ लोगों को अमूर्त बातें समझना मुश्किल होता है, लेकिन जब बात भौतिक दुनिया में लाई जाती है, तो हर कोई तुरंत समझ जाता है कि यह असहज करने वाली बात है।
  • सोच रहा हूँ कि Thanksgiving के दिन, जब बात सबकी inbox में दब जाने का सबसे अच्छा समय होता है, भेजे गए terms of service बदलाव से इसका कितना संबंध है।
    यह बदलाव class action पर रोक लगाने की कोशिश करता है, कानूनी कार्रवाई से पहले 60 दिन की “अनौपचारिक” प्रक्रिया से गुजरने को कहता है, और binding arbitration में धकेलता है।
    23andMe के वकीलों द्वारा बनाए गए इन प्रावधानों के अनुसार, ग्राहक के रूप में आपके पास लगभग कोई वास्तविक कानूनी अधिकार नहीं बचते।

    • क्या यह अदालत में वैध माना जाएगा?
      कम से कम जर्मनी में, जो contract एक पक्ष के पक्ष में बहुत ज़्यादा झुका हो, वह अदालत में जाकर अमान्य हो जाता है।
    • मुझे अभी-अभी email update मिला है, और लगता है कि नई शर्तों में opt-out का विकल्प है।
      इसका नतीजा क्या होगा, यह मुझे ठीक से नहीं पता।
      “हम आपको नई शर्तें पूरी पढ़ने की सलाह देते हैं। यदि आप शर्तों से सहमत नहीं हैं, तो यह email मिलने की तारीख से 30 दिनों के भीतर हमें बताएं। तब पुरानी service terms लागू रहेंगी। यदि आप 30 दिनों के भीतर नहीं बताते, तो माना जाएगा कि आपने नई शर्तें स्वीकार कर ली हैं।”
      notification email: legal@23andme.com
    • अगर 69 लाख उपयोगकर्ता arbitration प्रक्रिया शुरू कर दें, तो शायद 23andMe भी उलटे class action को ही पसंद करे
  • मुझे जिज्ञासा है कि क्या अब भी कोई मानता है कि व्यावहारिक अर्थों में privacy को बनाए रखा जा सकता है।
    machine learning algorithms बिना facial recognition के भी सिर्फ चाल-ढाल से लोगों की पहचान करना सीख रहे हैं, और सिर्फ keyboard typing की आवाज़ से दर्ज किए गए text को decode करने की दिशा में भी बढ़ रहे हैं।
    अगर सभी public data के समग्र संकेत और पर्याप्त रूप से विकसित algorithms मौजूद हों, तो क्या हम आज जिसे उचित privacy मानते हैं उसे बिना हर चरम उपाय पूरी तरह अपनाए बनाए रख सकते हैं?
    मैं कोई मूल्य-निर्णय नहीं दे रहा, बस इतना कह रहा हूँ कि चलन इसी दिशा में जाता दिख रहा है।

    • शायद मुश्किल हो, लेकिन इसका मतलब यह नहीं कि हमें इस पर चर्चा छोड़ देनी चाहिए कि भविष्य की privacy कैसी होनी चाहिए।
      अगर हम चुप रहें तो वे जीतेंगे, लेकिन अगर हम इस पर खुलकर चर्चा करें तो कम से कम safeguards बनाने की संभावना रहती है।
      हाँ, सच कहूँ तो शायद सब बर्बाद हो चुका है और EvilCorp ही जीतेगा, तो हो सकता है हम लड़ने में सिर्फ अपनी energy जला रहे हों और खुद ही पागल हो रहे हों।
      resistance is futile
    • लगभग 10 साल पहले, मैं ऐसे लोगों को जानता था जो चेहरे के बजाय कान के आकार, चाल, और शारीरिक विशेषताओं से लोगों की पहचान करने वाले computer vision algorithms पर शोध कर रहे थे।
      वजह यह थी कि Fortinet जैसी कंपनियाँ apartment या condo के प्रवेश द्वारों पर camera लगाकर आने-जाने वालों को scan और analyze करने वाले “automatic doorman” बनाना चाहती थीं।
      इस काम से जुड़े लगभग किसी भी व्यक्ति में ethical sense नज़र नहीं आती थी।
      ज़रूरत है भुला दिए जाने के अधिकार को स्पष्ट रूप से दर्ज करने वाले मज़बूत legislation की।
      मैं यह नहीं मानता कि identification automation अपने आप में मूलतः गलत है, लेकिन बिना consent जितने संभव हों उतने इंसानों की पहचान करने की कंपनियों की कोशिशें बहुत गलत हैं।
    • ऐसा लगता है कि UK सरकार दशकों पहले से privacy-preserving gait पर शोध कर रही थी: https://youtu.be/eCLp7zodUiI
    • मैं सहमत हूँ, लेकिन privacy उन चीज़ों के ऊपर रखी गई एक abstraction भी है जिनकी लोगों को वास्तव में चिंता होती है।
      “तुम यह जानकारी क्यों छिपाना चाहते हो?” का जवाब आखिरकार इस डर पर जाकर टिकता है कि “[कोई व्यक्ति या समूह] [private data] का इस्तेमाल करके मेरे लिए [बुरा नतीजा] पैदा कर सकता है।”
      लोग असल में data की नहीं, बल्कि बुरे नतीजों के जोखिम की परवाह करते हैं।
      अगर यह रुझान सही है, तो ध्यान उन सामाजिक लेन-देन में असममित शक्ति असंतुलन को रोकने पर होना चाहिए जो ऐसे बुरे नतीजे पैदा कर सकते हैं।
    • व्यक्तिगत रूप से मुझे नहीं लगता कि इसे बनाए रखा जा सकता है।
      पहले गोपनीय दस्तावेज़ के लीक होने की कल्पना मात्र से मैं परेशान हो जाता था, लेकिन जब मैंने देखा कि personal information को कितनी अव्यवस्थित तरह से संभाला जाता है, तो समझ आया कि यह तो लगभग तय है।
      Australia जैसे देश में, जहाँ privacy laws अपेक्षाकृत अच्छे हैं, Optus के बड़े hack में लगभग आधी आबादी के credit card details चोरी हो गए, और Medibank hack में private health insurance ग्राहकों के एक बड़े हिस्से की जानकारी लीक हो गई।
      mortgage के लिए आवेदन करते समय मुझे पता चला कि मेरे इलाके के छोटे mortgage brokers तक हर साल सैकड़ों या हज़ारों संवेदनशील identity documents ईमेल से प्राप्त करते हैं, और deal खत्म होने के बाद भी उन्हें delete नहीं करते।
      Australia की कई कंपनियाँ सिर्फ नाम, पता, और जन्मतिथि से identity verify कर लेती हैं, जबकि यह सब आम तौर पर 5 मिनट की search में मिल जाता है।
      मैंने अपने Telstra account पर कई साल तक एक PIN सेट किया था, जिससे account management changes रोके जा सकें, लेकिन एक दिन जब मैंने call किया तो उन्होंने password तक नहीं पूछा और बस काम कर दिया।
      मुझे लगता है कि privacy का सम्मान करवाने का एकमात्र तरीका यह है कि fraud की liability असली पीड़ित यानी कंपनी पर डाली जाए।
      “identity चोरी हो गई” वाला पुराना मज़ाक भी असल में identity theft नहीं है; हुआ यह है कि कंपनी की verification process fail हुई, और नुकसान की ज़िम्मेदारी से बचने के लिए दोष कहीं और डाल दिया गया।
      इसलिए अब मैं सिर्फ credit card इस्तेमाल करता हूँ।
      अगर fraudulent use होता है तो chargeback किया जा सकता है, और यह मेरी अपनी रकम तक unauthorized access को वास्तविक रूप से रोकने वाले लगभग इकलौते उपायों में से एक है।
  • हाल ही में मेरे साथ एक काफ़ी सिहराने वाली घटना हुई।
    कुछ महीने पहले जिस hospital में मैं गया था, वहाँ से call आया और उन्होंने मुझसे DNA analysis program में भाग लेने को कहा।
    उन्होंने कहा, “सबसे अच्छी बात यह है कि आपको कुछ भी नहीं करना होगा। पिछली बार लिया गया blood sample हम इस्तेमाल कर सकते हैं।”
    मैंने स्वाभाविक रूप से मना कर दिया, लेकिन यह बात ही बेतुकी लगी कि उन्होंने मुझे बताए बिना मुझसे जुड़े biological sample को संभालकर रखा था, और बाद में उससे DNA analysis भी किया जा सकता था।
    यह मुझे इस बात का सबूत लगा कि अमेरिका में privacy laws लगभग हैं ही नहीं।
    EU में बिना consent के samples को freeze करके store नहीं किया जा सकता, और जो samples freeze नहीं किए गए हों उन्हें भी सिर्फ कुछ दिनों तक ही रखने की अनुमति होती है।

    • Sweden में 1975 के बाद Sweden में पैदा हुए हर व्यक्ति के blood sample का एक registry है: https://sv.wikipedia.org/wiki/PKU-registret
      Wiki page सिर्फ Swedish में है।
      जैसा अनुमान लगाया जा सकता है, या दिलचस्प रूप से, पुलिस इस data तक पहुँच नहीं पा रही थी, लेकिन 2003 में एक government minister की हत्या के बाद उन्होंने suspect का sample हासिल किया।
      जहाँ तक पता है, उसके बाद इसका इस्तेमाल नहीं हुआ।
      इसे निंदक नज़रिए से देखा जा सकता है, लेकिन अब तक police द्वारा registry के इस्तेमाल की प्रथा स्थापित नहीं हुई है और अदालतें इस पर नियंत्रण रखती हैं।
    • फिर भी hospital ने फोन करके इस्तेमाल की अनुमति लेने की कोशिश की, और अगर उसने कानून का पालन किया हो तो शायद sample वास्तव में इस्तेमाल नहीं किया गया होगा।
      तो क्या इसका मतलब यह नहीं कि privacy law मौजूद है?
      यह पुराने results या samples को व्यवस्थित करने की प्रक्रिया का एक चरण भी हो सकता था।
  • कुछ तो मेल नहीं खाता
    23andMe ने कहा कि डेटा लीक ग्राहकों के पासवर्ड reuse की वजह से हुआ, लेकिन अगर एक ही बार में 14,000 अकाउंट टूटे, तो वे पासवर्ड आए कहाँ से?
    क्या LastPass जैसी किसी दूसरी संबंधित breach का मामला रहा होगा?
    और अगर hackers ने “DNA Relatives” फ़ीचर के ज़रिए 69 लाख लोगों की निजी जानकारी तक पहुँच बनाई, तो इसका मतलब हुआ कि मूल रूप से टूटे 14,000 अकाउंटों में से हर एक के औसतन लगभग 492 unique रिश्तेदार थे
    क्या मैं कुछ मिस कर रहा हूँ?

    • 14,000 अकाउंट का टूटना अपने आप में, लगातार अलग-अलग अकाउंट में login की कोशिशों को limit या detect न कर पाने की तकनीकी समस्या को छोड़ दें, तो बहुत चौंकाने वाला नहीं है
      attackers ने बड़े distributed network से data scrape किया हो सकता है, लेकिन ज़्यादा संभावना यही है कि शुरू से detection या protection ही नहीं थी
      लेकिन जब मैंने अपने अकाउंट में रिश्तेदारों की संख्या देखने के लिए login करने की कोशिश की, तो 23andMe ने पासवर्ड reuse का हवाला देकर login रोक दिया और reset माँगा
      इस अकाउंट पर मैंने हमेशा बहुत मजबूत पासवर्ड इस्तेमाल किया था, उसे कहीं भी reuse नहीं किया था, और 2-step authentication भी चालू था
      लगता है कंपनी भी इस बात से पूरी तरह आश्वस्त नहीं है कि वजह reused password ही थे
      जिस पासवर्ड को मैंने कभी reuse नहीं किया था, उसे reset करने के बाद देखा कि DNA relatives panel में 60 pages थे, और हर page पर 25 लोग दिख रहे थे, यानी कुल 1,500 रिश्तेदार निकाले जा सकते थे
      अगर 14,000 random अकाउंट से यह scrape किया जाए, तो काफ़ी बड़े पैमाने का network बनाया जा सकता है
    • इसमें बिल्कुल भी हैरानी नहीं है
      पुराने कई password leaks को जोड़कर बने बड़े lists सार्वजनिक रूप से मिल जाते हैं, और उन तक सिर्फ attackers ही नहीं बल्कि लगभग कोई भी आसानी से पहुँच सकता है
      1.4 करोड़ से ज़्यादा users में से 0.1%, यानी 14,000 लोगों ने कहीं और leak हुए password reuse किए हों, यह पूरी तरह reasonable है
      खासकर तब, जैसा कि Troy Hunt के काम पर कल की HN discussion में आया था, अगर ऐसे passwords को साफ़ तौर पर detect करके invalidate न किया जाए
    • अगर leak password reuse की वजह से हुआ, तो इसका मतलब होना चाहिए कि username और password का जोड़ा कहीं और से लीक हुआ था
      अगर username और password 23andMe से ही लीक हुए हों, तो फिर यह reuse का मामला नहीं बल्कि 23andMe की credential list ढूँढकर crack करने का मामला है
      किसी दूसरे website के leak list, या कई sites के leak को जोड़कर बनी list में 23andMe के 14,000 users का overlap होना बिल्कुल भी चौंकाने वाला नहीं है
    • अगर DNA relatives की संख्या और रिश्तेदारों की hack होने की vulnerability के मामले में मेरी 23andMe स्थिति औसत के क़रीब है, तो यह plausible लगता है
      खोजने पर दिखता है कि 23andMe के 1.4 करोड़ ग्राहक हैं, और 14,000 अकाउंट breach होने का मतलब है हर 1,000 में 1 अकाउंट टूटा
      मेरी DNA relatives list में 1,500 से थोड़ा ज़्यादा लोग दिखते हैं
      अगर हर अकाउंट के hack होने की संभावना 1/1000 मानें, तो मेरे रिश्तेदारों में किसी का भी hack न होने की संभावना (1-1/1000)^1500 = 0.223 होगी
      कम से कम एक रिश्तेदार के hack होने की संभावना 0.777 बनती है
      अगर मान लें कि मैं औसत हूँ, तो जिन लोगों का कोई hacked रिश्तेदार है, उनकी संख्या लगभग 1.08 करोड़ निकलती है, जो 69 लाख के आँकड़े के काफ़ी क़रीब लगती है
  • मैंने 23andMe को कभी गंभीरता से इस्तेमाल करने का नहीं सोचा
    hackers की वजह से नहीं, बल्कि इस वजह से कि सरकार उस जानकारी का क्या करेगी
    सिर्फ family tree जानने की जिज्ञासा में मैं यह जोखिम नहीं लेना चाहता कि किसी random रिश्तेदार पर आपराधिक शक आ जाए

    • 23andMe की वजह से मुझे पता चला कि मेरे पिता मेरे वास्तविक biological father नहीं थे, और मेरी एक half-sister है, साथ ही रिश्तेदारों का एक बड़ा समूह भी है जिसके बारे में मुझे पहले कुछ पता ही नहीं था
      privacy और personally identifiable information को लेकर चिंताएँ मुझे अच्छी तरह समझ हैं, लेकिन मेरे लिए यह निश्चित रूप से क़ीमती रहा क्योंकि इससे मुझे यह बेहतर समझने में मदद मिली कि मैं कौन हूँ, और मुझे ऐसे रिश्तेदार मिले जिन्होंने मेरा बहुत गर्मजोशी से स्वागत किया
      आखिरकार यह एक trade-off है
    • मुझे अपनी 23andMe जानकारी को लेकर सच में जिज्ञासा है, लेकिन मुझे हमेशा लगा कि यह कभी न कभी hack होगी, या फिर जल्दी पैसा कमाने के लिए users को बेच देने वाली किसी अविश्वसनीय संस्था को बेच दी जाएगी
      अगर test करने और results भेजने के बाद कंपनी अपनी test data और जानकारी नष्ट कर दे, या ऐसा home test हो जिसमें data घर से बाहर ही न जाए, तो मैं इसे करने पर विचार करूँगा
      यह समझना मुश्किल है कि कंपनियाँ इस data को लगातार क्यों संभाले रहती हैं
      यह बहुत बड़ी जिम्मेदारी है
      इस मामले में शायद वजह रिश्तेदारी पहचानने वाला फ़ीचर हो, लेकिन यह संदिग्ध है कि वह फ़ीचर इतना क़ीमती है कि उसके लिए यह जोखिम लिया जाए
    • क्या इस तरह के database का इस्तेमाल हत्या या बलात्कार के अलावा किसी और आरोप के लिए भी किया गया है?
      मैंने इस तकनीक से सुलझे जिन मामलों को देखा है, वे ऐसे थे जिनमें अगर मेरे किए किसी काम से बेहद बुरे लोगों को रोकने में मदद मिली हो, तो मुझे ख़ुशी ही होगी
    • अगर यही आपकी एकमात्र चिंता है, तो Nazis के बारे में और पढ़िए
      बस यह सोचिए कि अगर उनके हाथ genetic information database लग जाता, तो वे क्या करते
  • संयोग से, मैंने कल एक दूसरे thread में adameasterling की credential stuffing attack पर लिखी शानदार टिप्पणी पढ़ी [1]
    उसमें कहा गया था, “Troy Hunt वास्तव में बहुत मूल्यवान व्यक्ति हैं। अगर आप web application developer हैं, तो credential stuffing attack से सुरक्षा न करने का कोई बहाना नहीं है। सबसे अच्छी defense शायद 2-step authentication है, लेकिन Hunt के hashed password database से मिलान करना भी बहुत अच्छा है और इससे user को कोई अतिरिक्त काम भी नहीं करना पड़ता।”
    वह टिप्पणी 60 दिन पुरानी पोस्ट पर थी, फिर भी उसमें 23andMe [2] को उदाहरण के तौर पर लिया गया था, और इस घटना का ज़िक्र TechCrunch article में भी है
    [1] https://news.ycombinator.com/item?id=38521106
    [2] https://news.ycombinator.com/item?id=37794379

  • इस point पर तो ऐसा लगता है कि जो भी कंपनी data इकट्ठा करती है, वह कभी न कभी hack होगी
    सवाल यह नहीं है कि क्या होगा, बल्कि यह है कि कब होगा

    • जब तक कोई बहुत अच्छा कारण न हो, sites और apps को email address से ज़्यादा data इकट्ठा करने से रोकने के लिए penalties काफ़ी सख्त होनी चाहिए
      marketing material भेजना कोई अच्छा कारण नहीं है
    • अगर सरकार data लेना या बदलना चाहती है, तो उसे hack करने की भी ज़रूरत नहीं पड़ेगी
    • ऐसा नहीं है कि खुद को बचाना मुश्किल है
      बात यह है कि security में निवेश आमतौर पर business priority नहीं होता
      यह सिर्फ executives तक सीमित नहीं है; coercion और incentives के ज़रिए practitioners के लिए भी यही सच बन जाता है
      ऐसे ज़्यादातर बड़े hacks अच्छी नीयत से की गई सामान्य auditing से भी पकड़े जा सकने वाले, अच्छी तरह ज्ञात खतरों से आते हैं
  • “अच्छी खबर, अब हम genomic monitoring service भी देते हैं। सिर्फ $79.99 प्रति माह दीजिए, और जब भी कोई आपके genetic records तक पहुँचने की कोशिश करेगा, हम आपको alert भेज देंगे!” — 23andMe

  • “अगर छिपाने के लिए कुछ नहीं है, तो डरने की क्या बात है?”
    मुझे सत्ता की स्थिति में बैठे मूर्ख लोगों से डर लगता है
    अपराध सुलझाने की तकनीक के रूप में DNA matching शुरू से ही कई समस्याओं से भरी रही है
    “DNA सबूत उतने भरोसेमंद नहीं हैं जितना बहुत से लोग मानते हैं”
    https://www.lexology.com/library/detail.aspx?g=2800ffc0-c286-4094-80a5-ad4419908bc0
    “DNA testing के झूठे वादे”
    https://www.theatlantic.com/magazine/archive/2016/06/a-reasonable-doubt/480747/
    “forensic DNA evidence किस तरह गलत सज़ाओं तक ले जा सकता है”
    https://daily.jstor.org/forensic-dna-evidence-can-lead-wrongful-convictions/