व्हिसलब्लोअर का दावा: Microsoft ने सुरक्षा से ऊपर मुनाफे को रखा

 (propublica.org)
1 पॉइंट द्वारा GN⁺ 2024-06-14 | 1 टिप्पणियां | WhatsApp पर शेयर करें

व्हिसलब्लोअर का दावा: Microsoft ने सुरक्षा की बजाय मुनाफा चुना, जिससे अमेरिकी सरकार रूसी हैकिंग के लिए असुरक्षित हो गई

पूर्व कर्मचारी की चेतावनी को नज़रअंदाज़ किया गया

  • मुख्य बात: Microsoft के पूर्व कर्मचारी एंड्रयू हैरिस का दावा है कि कंपनी ने एक गंभीर सुरक्षा खामी को नज़रअंदाज़ किया। इसी खामी का इस्तेमाल रूसी हैकरों ने अमेरिका की National Nuclear Security Administration (NNSA) सहित कई एजेंसियों में सेंध लगाने के लिए किया।
  • हैरिस की खोज: हैरिस ने Microsoft के cloud application में इस्तेमाल होने वाले उस application में एक गंभीर खामी खोजी, जो यूज़र्स को cloud-based programs में login करने देता है। इस खामी से हैकर वैध कर्मचारियों के रूप में खुद को पेश कर महत्वपूर्ण डेटा चुरा सकते थे।
  • कंपनी की प्रतिक्रिया: हैरिस ने यह खामी अपने सहकर्मियों को बताई, लेकिन कंपनी ने सरकारी कारोबार खोने की आशंका में इसे नज़रअंदाज़ किया। Microsoft ने कहा कि वह दीर्घकालिक समाधान तैयार करेगा, लेकिन तब तक उसकी cloud services असुरक्षित बनी रहीं।

SolarWinds हैकिंग घटना

  • हैकिंग की घटना: हैरिस के कंपनी छोड़ने के बाद, रूसी हैकरों ने SolarWinds हैकिंग के जरिए कई संघीय एजेंसियों का संवेदनशील डेटा चुरा लिया। इसे अमेरिकी इतिहास के सबसे बड़े cyber attacks में से एक माना गया।
  • हैकिंग का तरीका: हैकरों ने हैरिस द्वारा खोजी गई खामी का इस्तेमाल कर कई संघीय एजेंसियों का डेटा चुराया, और इसे लंबी अवधि की खुफिया जानकारी जुटाने वाली जासूसी गतिविधि के रूप में बताया गया।

Microsoft की प्रतिक्रिया

  • आधिकारिक रुख: Microsoft का कहना है कि ग्राहकों की सुरक्षा उसकी सर्वोच्च प्राथमिकता है और वह सभी सुरक्षा समस्याओं की गहन समीक्षा करता है। लेकिन हैरिस ने कंपनी की आलोचना करते हुए कहा कि उसने ग्राहकों से ऊपर मुनाफे को रखा।
  • सुरक्षा संस्कृति: Microsoft को कमजोर security culture के लिए आलोचना झेलनी पड़ी, और कंपनी के भीतर भी सुरक्षा से ऊपर मुनाफे को रखने वाली संस्कृति को समस्या बताया गया।

GN⁺ की राय

  • सुरक्षा और मुनाफे का संतुलन: अगर कंपनियां सुरक्षा से ऊपर मुनाफे को रखें, तो लंबे समय में वे ग्राहकों का भरोसा खो सकती हैं। इसका असर अंततः कंपनी की साख और कमाई दोनों पर पड़ सकता है।
  • सरकार के साथ संबंध: सरकारी contracts बनाए रखने के लिए सुरक्षा समस्याओं को नज़रअंदाज़ करना अल्पकाल में फायदेमंद लग सकता है, लेकिन लंबे समय में यह राष्ट्रीय सुरक्षा के लिए बड़ा खतरा बन सकता है।
  • सुरक्षा संस्कृति में सुधार की ज़रूरत: Microsoft जैसी बड़ी कंपनियों को अपनी security culture सुधारनी चाहिए और सुरक्षा समस्याओं के तेज़ समाधान के लिए सिस्टम बनाना चाहिए। यह ग्राहक विश्वास बनाए रखने और दीर्घकालिक सफलता सुनिश्चित करने के लिए महत्वपूर्ण है।
  • प्रतिस्पर्धी उत्पाद: Okta जैसे प्रतिस्पर्धी उत्पाद भी मौजूद हैं, जो सुरक्षा पर अधिक ज़ोर देते हैं। कंपनियों को विभिन्न विकल्पों पर विचार कर सबसे उपयुक्त सुरक्षा समाधान चुनना चाहिए।
  • तकनीक अपनाते समय ध्यान देने योग्य बातें: नई तकनीक अपनाते समय सुरक्षा मुद्दों की गहराई से समीक्षा करनी चाहिए, संभावित कमजोरियों की पहले से पहचान कर उनके लिए उपाय तैयार करने चाहिए। यह हैकिंग जैसे cyber attacks को रोकने में महत्वपूर्ण है।

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2024-06-14
Hacker News की राय

  • Zero Trust मॉडल: संगठन के अंदर के नेटवर्क को भी बाहरी नेटवर्क की तरह मानना और उस पर पूर्ण भरोसा न करना महत्वपूर्ण है। Google ने BeyondCorp के ज़रिये इसे लागू किया, जिससे आंतरिक breach को रोका जा सका.

  • सुरक्षा और मुनाफ़े के बीच असंगति: सुरक्षा और मुनाफ़े के बीच की असंगति को सांस्कृतिक बदलाव के बिना हल करना मुश्किल है। फिलहाल यह स्पष्ट नहीं है कि इसे क्या ट्रिगर करेगा.

  • cyber security की वास्तविकता: cyber security उद्योग में वास्तविक सुरक्षा से ज़्यादा compliance पर ध्यान देने की प्रवृत्ति है। compliance मानक या तो अपर्याप्त हैं या सही तरह से लागू नहीं किए जाते.

  • सरकार और कंपनियों का संबंध: सरकार को उत्पाद बेचने वाली कंपनियाँ बहुत पैसा कमा सकती हैं, और इसके लिए वे नकारात्मक पहलुओं को छिपा भी सकती हैं। इससे बुनियादी नैतिकता और ईमानदारी का क्षरण होता है.

  • सुरक्षा incentives: सुरक्षा के लिए पर्याप्त incentives नहीं हैं। sales कर्मचारी प्रदर्शन के आधार पर पुरस्कृत होते हैं, लेकिन सुरक्षा कर्मचारी अगर कोई घटना न होने दें तो भी पहचान नहीं पाते, और विफलता पर नौकरी खो सकते हैं। यह सुरक्षा संस्कृति को कमजोर करता है.

  • security-first दृष्टिकोण: प्रबंधन का "सुरक्षा को प्राथमिकता दो" कहना अपने आप में महत्वपूर्ण नहीं है। अगर सुरक्षा संस्कृति को पुरस्कृत नहीं किया जाएगा, तो कर्मचारी दूसरी प्राथमिकताओं के हिसाब से खुद को optimize करेंगे.

  • Microsoft का सुरक्षा दृष्टिकोण: Microsoft के CEO Satya Nadella कहते हैं कि सुरक्षा पहले है, लेकिन व्यवहार में कंपनी विज्ञापनों और user activity logging पर ज़्यादा केंद्रित दिखती है.

  • सरकार का smart card उपयोग: अमेरिकी सरकार सुरक्षा मजबूत करने के लिए smart card authentication का उपयोग करती है। लेकिन Seamless SSO को disable करने पर उपयोगकर्ताओं के लिए cloud तक पहुँचना मुश्किल हो जाता है.

  • मुनाफ़ा-प्रथम मानसिकता: ज़्यादातर कंपनियाँ सुरक्षा से पहले मुनाफ़े को रखती हैं। यह केवल Microsoft की समस्या नहीं है.

  • Golden SAML हमला: Golden SAML कोई vulnerability नहीं बल्कि हमले का एक प्रकार है। अगर SSO infrastructure compromise हो जाए, तो सब कुछ जोखिम में पड़ जाता है.

  • रूपक के ज़रिये व्याख्या: एक पुल निर्माण कंपनी संरचनात्मक खामियों को नज़रअंदाज़ करती है और पुल गिर जाता है—इस रूपक से समझाया गया है कि IT उद्योग में भी वैसी ही स्थितियाँ होती हैं.

  • कानूनी नियमन की आवश्यकता: network security के लिए कानूनी नियमन ज़रूरी है। यह समझ बढ़ रही है कि tech उद्योग खुद को प्रभावी ढंग से regulate नहीं कर सकता। अगर अमेरिकी सरकार Microsoft के cloud पर भरोसा खो दे, तो विकल्प ज़्यादा नहीं हैं.