AT&T ग्राहकों के ‘लगभग सभी’ फोन रिकॉर्ड चोरी हुए डेटा लीक में उजागर
(techcrunch.com)- AT&T का नया डेटा लीक लगभग सभी ग्राहकों के कॉल और टेक्स्ट संबंधों के रिकॉर्ड को प्रभावित करता है, और करीब 11 करोड़ लोगों को सूचना दी जाएगी
- चोरी हुआ डेटा मुख्य रूप से 1 मई 2022 से 31 अक्टूबर 2022 तक का कॉल और टेक्स्ट metadata है, और कुछ ग्राहकों के लिए 2 जनवरी 2023 के रिकॉर्ड भी शामिल हैं
- संदेशों की सामग्री या सटीक समय और तारीख शामिल नहीं हैं, लेकिन किसने किससे संपर्क किया, कॉल की संख्या और अवधि, तथा कुछ cell site identification numbers उजागर हुए हैं
- यह घटना AT&T की मार्च वाली सुरक्षा घटना से अलग है, और Snowflake ग्राहक खातों को निशाना बनाने वाली हालिया डेटा चोरी की घटनाओं से जुड़ी है
- Snowflake account protection में multi-factor authentication का इस्तेमाल न होना मुद्दा बना, और Mandiant ने लगभग 165 ग्राहक खातों से बड़ी मात्रा में डेटा चोरी की पुष्टि की
AT&T से लीक हुए फोन रिकॉर्ड का दायरा
- AT&T इस घटना के कारण लगभग 11 करोड़ लोगों को सूचना देने की योजना बना रहा है
- चोरी हुए डेटा में AT&T मोबाइल फोन और लैंडलाइन ग्राहकों के फोन नंबर तथा कॉल और टेक्स्ट रिकॉर्ड शामिल हैं
- लक्षित अवधि 1 मई 2022 से 31 अक्टूबर 2022 तक छह महीने की है
- कुछ ग्राहकों के लिए 2 जनवरी 2023 के अधिक हालिया रिकॉर्ड भी शामिल हैं, लेकिन ऐसे ग्राहकों की संख्या सार्वजनिक नहीं की गई है
- AT&T network का उपयोग करने वाले अन्य mobile carriers के ग्राहकों के कॉल रिकॉर्ड भी लीक डेटा में शामिल हैं
- लीक डेटा में कॉल या टेक्स्ट की सामग्री शामिल नहीं है
- यह पता लगाया जा सकता है कि किसी खास AT&T नंबर ने किन नंबरों से कॉल या टेक्स्ट का आदान-प्रदान किया
- इसमें ग्राहक की कुल कॉल और टेक्स्ट संख्या तथा कॉल duration शामिल है
- कॉल और टेक्स्ट का समय या तारीख शामिल नहीं है
- कुछ रिकॉर्ड में फोन कॉल या टेक्स्ट संदेश से जुड़े cell site identification numbers शामिल हैं
- इस जानकारी से यह अनुमानित स्थान पता चल सकता है जहां कॉल की गई या टेक्स्ट भेजा गया
- AT&T ने ग्राहकों के लिए जानकारी पेज और regulator filing document के जरिए घटना का खुलासा किया
Snowflake account चोरी और जांच की स्थिति
- AT&T को 19 अप्रैल को इस डेटा लीक की जानकारी मिली, और उसने स्पष्ट किया कि यह मार्च में सार्वजनिक की गई पिछली सुरक्षा घटना से संबंधित नहीं है
- नवीनतम ग्राहक रिकॉर्ड हालिया डेटा चोरी की घटनाओं के दौरान Snowflake से चोरी हुए पाए गए, जिनमें Snowflake ग्राहकों को निशाना बनाया गया था
- Snowflake एक सेवा है जो enterprise customers को cloud में बड़ी मात्रा में ग्राहक डेटा का विश्लेषण करने देती है
- AT&T ने ग्राहक डेटा Snowflake में क्यों stored किया, यह सार्वजनिक नहीं किया गया है
- हाल के हफ्तों में Ticketmaster और LendingTree की subsidiary QuoteWizard जैसी कंपनियों ने भी पुष्टि की है कि Snowflake से उनका डेटा चोरी हुआ
- Snowflake का मानना है कि डेटा चोरी के लिए वे ग्राहक जिम्मेदार हैं जिन्होंने account protection में multi-factor authentication का उपयोग नहीं किया
- Snowflake ने यह security feature ग्राहकों पर enforce या अनिवार्य नहीं किया था
- ग्राहकों को सूचना देने में मदद के लिए Snowflake द्वारा बुलाई गई Mandiant ने पुष्टि की कि लगभग 165 Snowflake customer accounts से काफी मात्रा में डेटा चोरी हुआ
- Mandiant ने इस breach को UNC5537 के रूप में track किए जा रहे अभी तक classified न किए गए cybercrime group से जोड़ा
- माना जाता है कि इन hackers की प्रेरणा आर्थिक है
- सदस्य North America में हैं, और कम से कम 1 व्यक्ति Turkey में है
- Snowflake account चोरी के कुछ corporate victims का डेटा जाने-माने cybercrime forums पर post किया गया, लेकिन AT&T का मानना नहीं है कि उसका डेटा फिलहाल public रूप से उपलब्ध है
- AT&T law enforcement agencies के साथ मिलकर संबंधित cybercriminals को गिरफ्तार कर रहा है, और कम से कम 1 व्यक्ति गिरफ्तार हुआ है
- गिरफ्तार व्यक्ति AT&T employee नहीं है
- FBI ने इस गिरफ्तारी पर टिप्पणी नहीं की
- FBI ने पुष्टि की कि AT&T द्वारा breach की रिपोर्ट करने के बाद AT&T, FBI और Justice Department ने दो बार ग्राहकों और जनता को सूचना देने में देरी करने पर सहमति दी
- कारण national security और public safety के लिए संभावित जोखिम था
- तीनों संस्थाओं ने देरी की प्रक्रिया के दौरान threat information साझा की, ताकि FBI investigation और AT&T की incident response में मदद मिल सके
- यह घटना इस साल AT&T द्वारा सार्वजनिक की गई दूसरी security incident है
- इससे पहले customer account information का cache cybercrime forum पर पोस्ट होने के बाद AT&T को लाखों ग्राहकों के account passwords reset करने पड़े थे
- उस समय cache में AT&T customer accounts तक पहुंच के लिए encrypted passcodes शामिल थे, और security researchers का मानना था कि उन passcodes को आसानी से decrypt किया जा सकता है
1 टिप्पणियां
Hacker News राय
AT&T के 11 करोड़ ग्राहक हैं, और अगर इस घुसपैठ की वजह से हर ग्राहक को अपने अकाउंट मैनेजमेंट पर सिर्फ 1 मिनट भी अतिरिक्त खर्च करना पड़े, तो कुल मिलाकर 209 साल से ज़्यादा समय बर्बाद हो जाएगा
डेटा लीक से जुड़े कानून कहीं ज़्यादा सख्त होने चाहिए। अगर लीक के वास्तविक नतीजे लगभग न हों, तो कंपनियां डेटा सुरक्षा में बस न्यूनतम निवेश करेंगी
corporate personhood को भेदकर उन लोगों पर आपराधिक मुकदमा चलाना चाहिए जिनकी लापरवाही से ऐसा संभव हुआ, या जुर्माने इतने बड़े होने चाहिए कि मैनेजमेंट और शेयरहोल्डर को सचमुच चोट लगे
हर कोई कंपनी को दोष दे रहा है, लेकिन क्या किसी ने सोचा है कि सरकार के पास मेरी सारी कॉल गतिविधियों का रिकॉर्ड होना हमें सामान्य क्यों लग रहा है। पुराने समय में ऐसी चीज़ को डिस्टोपियन निगरानी राज्य कहा जाता
मैं नहीं चाहूंगा कि मेरे software में किसी अज्ञात vulnerability के कारण breach हो जाए तो मुझे कानूनी रूप से जिम्मेदार ठहराया जाए
एक वाजिब पहला कदम डेटा सुरक्षा के लिए third-party standards, audits, certifications बनाना हो सकता है, ताकि privacy और security को महत्व देने वाले consumers जान सकें कि कंपनी क्या कर रही है। अगर consumers उसमें value देखें, तो वे उस कंपनी को ज़्यादा पसंद करेंगे और बाकी कंपनियां भी उसका अनुसरण कर सकती हैं
यह अभी तक गैरकानूनी नहीं है, यह बात बिल्कुल समझ से बाहर है
AT&T रातोंरात लगभग end-to-end encrypted service जैसी बन जाएगी
line खुद encrypted नहीं होगी, इसलिए NSA अब भी wiretap कर पाएगी, लेकिन कम से कम AT&T data centers में boot drives, SMS message queues, और approved SIM व phone number mapping के अलावा mutable storage 0 हो सकता है
आज के दौर में call records बनाए रखने की जरूरत क्यों है, समझ नहीं आता। billing, जो इसका मूल उद्देश्य था, उसके लिए भी अब यह जरूरी नहीं है
अगर यह “Snowflake cloud data provider के 160 से ज़्यादा customers से जुड़ा अब भी जारी data breach” है, तो हैरानी होती है कि Snowflake आम तौर पर AT&T data के साथ क्या करता है। क्या यह उसे “marketing partners” को redistribute करता है? ऐसा ही लगता है
Snowflake website का mission statement कहता है: “हमारा mission data silos को तोड़ना, complexity पर काबू पाना, और publishers, advertisers, और उन्हें support करने वाली core technology के बीच सुरक्षित data collaboration संभव बनाना है”
तो यह AT&T operating systems में intrusion नहीं लगता, बल्कि ऐसा लगता है कि जो data पहले से marketers को बेचा जा रहा था, उसे किसी unauthorized व्यक्ति ने ले लिया। क्या यह समझ सही है, जानना चाहूंगा
इस leak और Snowflake data lake में मौजूद data की प्रकृति को देखते हुए, customer के नज़रिए से मैं इस घटना को “leak” नहीं मानूंगा। असली leak उससे upstream stage में पहले ही हो चुका था
database में मौजूद data की प्रकृति और जिस platform पर वह store था, उसे देखते हुए बहुत संभावना है कि यह data AT&T के internal use के लिए नहीं, बल्कि advertisers या consumer analytics partners जैसे third parties, या सरकारी एजेंसियों द्वारा बाहरी उपयोग के लिए बनाया गया था
यानी अगर मेरा data इस repository में था, तो मैं मानूंगा कि repository में जाते ही वह पहले ही “leak” हो चुका था। यहां समस्या शायद AT&T और FBI के नजरिए से यह है कि data गलत लोगों तक leak हो गया
AT&T हो, bank हो या government, फर्क नहीं पड़ता। किसी भी परिस्थिति में यह उम्मीद नहीं की जा सकती कि sensitive information private बनी रहेगी
पहले हम बच्चों को internet से परिचित कराते समय इसे लगभग absolute rule की तरह सिखाते थे, और हैरानी होती है कि 20 साल में चीजें कितनी बदल गईं
AT&T का share price आज सुबह शुरुआती -2.6% गिरावट से काफी हद तक recover कर चुका है, इसलिए लगता है market AT&T को immune मान रहा है। दूसरी ओर Snowflake -3.9% नीचे है, और AT&T के अलावा भी उसके कई customers हैं
https://www.marketwatch.com/investing/stock/T
https://www.marketwatch.com/investing/stock/SNOW
अगर share price में कोई असर दिखता है, तो मेरी राय में वह इस news से असंबंधित होने की संभावना ज्यादा है
इस मामले में, article के अनुसार Ticketmaster और Lending Tree breaches का कारण भी Snowflake था, इसलिए अभी Snowflake पर trust काफी गिरना स्वाभाविक है
class action का नतीजा शायद यह होगा कि हर किसी को 2 डॉलर मिलने के बजाय 2000s के शुरुआती दौर की ringtone add-on service का free trial coupon मिल जाएगा, और अंत में recurring revenue ही बढ़ेगा
यूरोप में, संचालन के लिए ज़रूरी सीमा से आगे जाकर फोन रिकॉर्ड को व्यापक रूप से स्टोर करना कई देशों में अवैध होता, और सामान्य तौर पर भी राष्ट्रीय सुरक्षा के वास्तविक खतरे और अदालत की निगरानी में अस्थायी उपाय के अलावा यह European Convention on Human Rights के अनुरूप नहीं है[1]
सर्विस प्रोवाइडर के पास शुरुआत से ही ऐसी चीजें स्टोर करने की कोई वजह नहीं है, और इसे कानून बनाकर ठीक करना भी मुश्किल नहीं है। बस इन्हें रखना ही अवैध कर देना चाहिए
[1] https://curia.europa.eu/juris/document/document.jsf?text=&do...
जर्मनी में यह तुलनात्मक रूप से छोटी है, 10 सप्ताह, लेकिन फिर भी ऐसे रिकॉर्ड रखना ज़रूरी है
यह कहना कि यूरोप में ऐसे रिकॉर्ड इकट्ठा करना अवैध है, साफ तौर पर गलत है; उलटे रिकॉर्ड संग्रह आम तौर पर देश-दर-देश तय अवधि के लिए अनिवार्य होता है
billing के लिए फोन रिकॉर्ड चाहिए होते हैं। ग्राहक अक्सर bill पर आपत्ति करते हैं, इसलिए उन्हें कुछ समय तक और रखना भी पड़ता है
अफसोस है कि अमेरिका customer protection से ज़्यादा “disruptive innovation” को महत्व देता दिखता है, इसलिए data की कानूनी सुरक्षा Congress में लोकप्रिय नहीं है
मुझे लगता है यह GDPR प्रतिबंधों के दायरे में ज्यादा आएगा
उपभोक्ता data breaches के प्रति इतने सुन्न हो चुके हैं कि अब ऐसे मामलों पर भी गुस्सा लगभग नहीं आता। अगर उपभोक्ताओं का गुस्सा नहीं होगा, तो कंपनियों के पास data breaches रोकने के लिए ज्यादा मेहनत करने का बहुत कम incentive रहेगा
अगर ऐसे breaches पर अरबों डॉलर के जुर्माने लगने शुरू हों, तो कंपनियां अचानक security में निवेश करने लगेंगी
हालांकि हाल के Supreme Court फैसले से सरकारी एजेंसियों की ताकत कमजोर हो रही है, इसलिए शायद यह संभव नहीं होगा
अब लगता है civil courts, यानी class-action lawsuits के जरिए जुर्माना लगवाने पर निर्भर रहना पड़ेगा
मैंने अपना AT&T account 10 साल से भी पहले बंद कर दिया था, लेकिन इस साल मार्च वाली पिछली hacking में भी वे मेरा पुराना पता, पूरा नाम और Social Security Number स्टोर किए हुए थे
यह सचमुच बेतुका है कि अक्षम संगठनों को वास्तविक रूप से दंडित करने वाला कोई ठीक-ठाक कानून नहीं है
इस साल की शुरुआत में भी AT&T या उसके vendor के breach की वजह से मेरा Social Security Number dark web पर चला गया। 1 साल की monitoring काफी नहीं है। जीवन भर चाहिए
security उनकी चिंता नहीं है। मौजूदा स्थिति बदलने का कोई वास्तविक incentive नहीं है। ऐसी कंपनियों से अनिश्चितकाल तक monitoring का खर्च दिलवाना चाहिए
हमारे देश का national ID number जन्मतिथि, उस दिन जन्म लेने के क्रम का बढ़ता number, और checksum digit से calculate किया जा सकता है, और अगर आप थोड़ा भी personal business करते हैं तो आपको अपना personal tax number हर receipt या business purchase document पर लिखना पड़ता है
यह जान लेने से कि आज पैदा हुए पहले लड़के का ID number 120702450001X है, किसी बुरे काम में मदद नहीं मिलती। checksum calculation करने की जहमत नहीं उठाई, लेकिन algorithm public है
सोचना चाहिए कि suicide prevention hotline, abortion clinic, loan repayment service आदि पर फोन करने वालों का क्या होगा
phone number हो तो ऐसी बातें पता लगाई जा सकती हैं
TechCrunch article के मुताबिक cell tower identifiers भी शामिल थे, जिसका मतलब है कि लगभग location information भी शामिल थी
https://techcrunch.com/2024/07/12/att-phone-records-stolen-d...
तो मेरा compensation कहां है, पता नहीं। जाहिर है, मुझे पता है कि कोई remedy नहीं है
भारी मात्रा में customer personal data वाले data store पर multi-factor authentication चालू करने जैसी safe practices के लिए अगर कोई जिम्मेदार नहीं होगा, तो नतीजा यही होगा
बिना माफी के बस report करके आगे बढ़ जाते हैं। बात “ओह, वे कमबख्त cyber criminals” पर खत्म हो जाती है