1 पॉइंट द्वारा GN⁺ 2024-07-13 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • AT&T का नया डेटा लीक लगभग सभी ग्राहकों के कॉल और टेक्स्ट संबंधों के रिकॉर्ड को प्रभावित करता है, और करीब 11 करोड़ लोगों को सूचना दी जाएगी
  • चोरी हुआ डेटा मुख्य रूप से 1 मई 2022 से 31 अक्टूबर 2022 तक का कॉल और टेक्स्ट metadata है, और कुछ ग्राहकों के लिए 2 जनवरी 2023 के रिकॉर्ड भी शामिल हैं
  • संदेशों की सामग्री या सटीक समय और तारीख शामिल नहीं हैं, लेकिन किसने किससे संपर्क किया, कॉल की संख्या और अवधि, तथा कुछ cell site identification numbers उजागर हुए हैं
  • यह घटना AT&T की मार्च वाली सुरक्षा घटना से अलग है, और Snowflake ग्राहक खातों को निशाना बनाने वाली हालिया डेटा चोरी की घटनाओं से जुड़ी है
  • Snowflake account protection में multi-factor authentication का इस्तेमाल न होना मुद्दा बना, और Mandiant ने लगभग 165 ग्राहक खातों से बड़ी मात्रा में डेटा चोरी की पुष्टि की

AT&T से लीक हुए फोन रिकॉर्ड का दायरा

  • AT&T इस घटना के कारण लगभग 11 करोड़ लोगों को सूचना देने की योजना बना रहा है
  • चोरी हुए डेटा में AT&T मोबाइल फोन और लैंडलाइन ग्राहकों के फोन नंबर तथा कॉल और टेक्स्ट रिकॉर्ड शामिल हैं
    • लक्षित अवधि 1 मई 2022 से 31 अक्टूबर 2022 तक छह महीने की है
    • कुछ ग्राहकों के लिए 2 जनवरी 2023 के अधिक हालिया रिकॉर्ड भी शामिल हैं, लेकिन ऐसे ग्राहकों की संख्या सार्वजनिक नहीं की गई है
  • AT&T network का उपयोग करने वाले अन्य mobile carriers के ग्राहकों के कॉल रिकॉर्ड भी लीक डेटा में शामिल हैं
  • लीक डेटा में कॉल या टेक्स्ट की सामग्री शामिल नहीं है
    • यह पता लगाया जा सकता है कि किसी खास AT&T नंबर ने किन नंबरों से कॉल या टेक्स्ट का आदान-प्रदान किया
    • इसमें ग्राहक की कुल कॉल और टेक्स्ट संख्या तथा कॉल duration शामिल है
    • कॉल और टेक्स्ट का समय या तारीख शामिल नहीं है
  • कुछ रिकॉर्ड में फोन कॉल या टेक्स्ट संदेश से जुड़े cell site identification numbers शामिल हैं
    • इस जानकारी से यह अनुमानित स्थान पता चल सकता है जहां कॉल की गई या टेक्स्ट भेजा गया
  • AT&T ने ग्राहकों के लिए जानकारी पेज और regulator filing document के जरिए घटना का खुलासा किया

Snowflake account चोरी और जांच की स्थिति

  • AT&T को 19 अप्रैल को इस डेटा लीक की जानकारी मिली, और उसने स्पष्ट किया कि यह मार्च में सार्वजनिक की गई पिछली सुरक्षा घटना से संबंधित नहीं है
  • नवीनतम ग्राहक रिकॉर्ड हालिया डेटा चोरी की घटनाओं के दौरान Snowflake से चोरी हुए पाए गए, जिनमें Snowflake ग्राहकों को निशाना बनाया गया था
    • Snowflake एक सेवा है जो enterprise customers को cloud में बड़ी मात्रा में ग्राहक डेटा का विश्लेषण करने देती है
    • AT&T ने ग्राहक डेटा Snowflake में क्यों stored किया, यह सार्वजनिक नहीं किया गया है
  • हाल के हफ्तों में Ticketmaster और LendingTree की subsidiary QuoteWizard जैसी कंपनियों ने भी पुष्टि की है कि Snowflake से उनका डेटा चोरी हुआ
  • Snowflake का मानना है कि डेटा चोरी के लिए वे ग्राहक जिम्मेदार हैं जिन्होंने account protection में multi-factor authentication का उपयोग नहीं किया
    • Snowflake ने यह security feature ग्राहकों पर enforce या अनिवार्य नहीं किया था
    • ग्राहकों को सूचना देने में मदद के लिए Snowflake द्वारा बुलाई गई Mandiant ने पुष्टि की कि लगभग 165 Snowflake customer accounts से काफी मात्रा में डेटा चोरी हुआ
  • Mandiant ने इस breach को UNC5537 के रूप में track किए जा रहे अभी तक classified न किए गए cybercrime group से जोड़ा
    • माना जाता है कि इन hackers की प्रेरणा आर्थिक है
    • सदस्य North America में हैं, और कम से कम 1 व्यक्ति Turkey में है
  • Snowflake account चोरी के कुछ corporate victims का डेटा जाने-माने cybercrime forums पर post किया गया, लेकिन AT&T का मानना नहीं है कि उसका डेटा फिलहाल public रूप से उपलब्ध है
  • AT&T law enforcement agencies के साथ मिलकर संबंधित cybercriminals को गिरफ्तार कर रहा है, और कम से कम 1 व्यक्ति गिरफ्तार हुआ है
    • गिरफ्तार व्यक्ति AT&T employee नहीं है
    • FBI ने इस गिरफ्तारी पर टिप्पणी नहीं की
  • FBI ने पुष्टि की कि AT&T द्वारा breach की रिपोर्ट करने के बाद AT&T, FBI और Justice Department ने दो बार ग्राहकों और जनता को सूचना देने में देरी करने पर सहमति दी
    • कारण national security और public safety के लिए संभावित जोखिम था
    • तीनों संस्थाओं ने देरी की प्रक्रिया के दौरान threat information साझा की, ताकि FBI investigation और AT&T की incident response में मदद मिल सके
  • यह घटना इस साल AT&T द्वारा सार्वजनिक की गई दूसरी security incident है
    • इससे पहले customer account information का cache cybercrime forum पर पोस्ट होने के बाद AT&T को लाखों ग्राहकों के account passwords reset करने पड़े थे
    • उस समय cache में AT&T customer accounts तक पहुंच के लिए encrypted passcodes शामिल थे, और security researchers का मानना था कि उन passcodes को आसानी से decrypt किया जा सकता है

1 टिप्पणियां

 
GN⁺ 2024-07-13
Hacker News राय
  • AT&T के 11 करोड़ ग्राहक हैं, और अगर इस घुसपैठ की वजह से हर ग्राहक को अपने अकाउंट मैनेजमेंट पर सिर्फ 1 मिनट भी अतिरिक्त खर्च करना पड़े, तो कुल मिलाकर 209 साल से ज़्यादा समय बर्बाद हो जाएगा
    डेटा लीक से जुड़े कानून कहीं ज़्यादा सख्त होने चाहिए। अगर लीक के वास्तविक नतीजे लगभग न हों, तो कंपनियां डेटा सुरक्षा में बस न्यूनतम निवेश करेंगी
    corporate personhood को भेदकर उन लोगों पर आपराधिक मुकदमा चलाना चाहिए जिनकी लापरवाही से ऐसा संभव हुआ, या जुर्माने इतने बड़े होने चाहिए कि मैनेजमेंट और शेयरहोल्डर को सचमुच चोट लगे

    • हैरानी है कि कोई यह बात नहीं उठा रहा कि AT&T जैसी कंपनियां ऐसा डेटा मज़े के लिए इकट्ठा नहीं करतीं। इसमें खर्च भी बहुत आता है, लेकिन सरकार कानूनी तौर पर इसकी मांग करती है
      हर कोई कंपनी को दोष दे रहा है, लेकिन क्या किसी ने सोचा है कि सरकार के पास मेरी सारी कॉल गतिविधियों का रिकॉर्ड होना हमें सामान्य क्यों लग रहा है। पुराने समय में ऐसी चीज़ को डिस्टोपियन निगरानी राज्य कहा जाता
    • सच में कुछ ठीक करना है तो शेयरहोल्डर को चोट पहुंचाने के अलावा कोई रास्ता नहीं है। जब तक अमीर लोग पैसा नहीं गंवाएंगे और C-level व बोर्ड को जवाबदेही का सामना नहीं करना पड़ेगा, वे एक-दूसरे की पीठ थपथपाते हुए बोनस लेते रहेंगे
    • “जिस लापरवाही से यह संभव हुआ” उसका जिम्मेदार शायद कोई साधारण कामकाजी कर्मचारी ही होगा। जो मांग रहे हैं, उससे सावधान रहें
      मैं नहीं चाहूंगा कि मेरे software में किसी अज्ञात vulnerability के कारण breach हो जाए तो मुझे कानूनी रूप से जिम्मेदार ठहराया जाए
      एक वाजिब पहला कदम डेटा सुरक्षा के लिए third-party standards, audits, certifications बनाना हो सकता है, ताकि privacy और security को महत्व देने वाले consumers जान सकें कि कंपनी क्या कर रही है। अगर consumers उसमें value देखें, तो वे उस कंपनी को ज़्यादा पसंद करेंगे और बाकी कंपनियां भी उसका अनुसरण कर सकती हैं
    • ऐसा breach रोकने वाला कानून वह होगा जो telecom companies द्वारा customer data बेचने को गैरकानूनी बना दे। AT&T ने सारा data Snowflake में इसलिए डाला था ताकि customer location और social graph marketers को बेच सके
      यह अभी तक गैरकानूनी नहीं है, यह बात बिल्कुल समझ से बाहर है
    • कल्पना कीजिए ऐसी दुनिया की, जहां डेटा breach होने पर 10 साल तक उस तरह का data इकट्ठा करना तो दूर, उसे store या बेच भी नहीं सकते, और यह नियम data collection की मांग करने वाले कानूनों से ऊपर हो
      AT&T रातोंरात लगभग end-to-end encrypted service जैसी बन जाएगी
      line खुद encrypted नहीं होगी, इसलिए NSA अब भी wiretap कर पाएगी, लेकिन कम से कम AT&T data centers में boot drives, SMS message queues, और approved SIM व phone number mapping के अलावा mutable storage 0 हो सकता है
      आज के दौर में call records बनाए रखने की जरूरत क्यों है, समझ नहीं आता। billing, जो इसका मूल उद्देश्य था, उसके लिए भी अब यह जरूरी नहीं है
  • अगर यह “Snowflake cloud data provider के 160 से ज़्यादा customers से जुड़ा अब भी जारी data breach” है, तो हैरानी होती है कि Snowflake आम तौर पर AT&T data के साथ क्या करता है। क्या यह उसे “marketing partners” को redistribute करता है? ऐसा ही लगता है
    Snowflake website का mission statement कहता है: “हमारा mission data silos को तोड़ना, complexity पर काबू पाना, और publishers, advertisers, और उन्हें support करने वाली core technology के बीच सुरक्षित data collaboration संभव बनाना है”
    तो यह AT&T operating systems में intrusion नहीं लगता, बल्कि ऐसा लगता है कि जो data पहले से marketers को बेचा जा रहा था, उसे किसी unauthorized व्यक्ति ने ले लिया। क्या यह समझ सही है, जानना चाहूंगा

    • यह शायद उस स्थिति से बहुत अलग न हो जहां Salesforce जैसी जगह breach हो जाए और उसके बड़े customers प्रभावित हों। बड़ी कंपनियां अपने back-office कामकाज के बड़े हिस्से के लिए SaaS services का उपयोग करती हैं
    • Snowflake मुख्य रूप से OLAP के लिए cloud database है। AT&T account खराब password और multi-factor authentication की कमी से protected था
    • हो सकता है AT&T Snowflake का इस्तेमाल internal analytics के लिए कर रहा था
    • अगर ऐसा है, तो शायद AT&T सबसे ज्यादा इस बात से नाराज़ था कि उसे इस data के बदले पैसा नहीं मिला
  • इस leak और Snowflake data lake में मौजूद data की प्रकृति को देखते हुए, customer के नज़रिए से मैं इस घटना को “leak” नहीं मानूंगा। असली leak उससे upstream stage में पहले ही हो चुका था
    database में मौजूद data की प्रकृति और जिस platform पर वह store था, उसे देखते हुए बहुत संभावना है कि यह data AT&T के internal use के लिए नहीं, बल्कि advertisers या consumer analytics partners जैसे third parties, या सरकारी एजेंसियों द्वारा बाहरी उपयोग के लिए बनाया गया था
    यानी अगर मेरा data इस repository में था, तो मैं मानूंगा कि repository में जाते ही वह पहले ही “leak” हो चुका था। यहां समस्या शायद AT&T और FBI के नजरिए से यह है कि data गलत लोगों तक leak हो गया

    • indiscriminate data collection और Snowflake जैसी databases की समस्या यह है कि जैसे ही आप internet पर कोई भी निजी जानकारी डालते हैं, वह सुरक्षित नहीं रहती। पर्याप्त समय बीतने पर वह सारी जानकारी “share” हो जाएगी और third parties के आर्थिक व राजनीतिक हितों में इस्तेमाल होगी
      AT&T हो, bank हो या government, फर्क नहीं पड़ता। किसी भी परिस्थिति में यह उम्मीद नहीं की जा सकती कि sensitive information private बनी रहेगी
      पहले हम बच्चों को internet से परिचित कराते समय इसे लगभग absolute rule की तरह सिखाते थे, और हैरानी होती है कि 20 साल में चीजें कितनी बदल गईं
    • सोचता हूं कि Snowflake data को verify करने के बजाय बस निगलकर बेचने में इतना डूबा रहा है, तो उसने AT&T customers की बाल यौन शोषण सामग्री को सार्वजनिक रूप से कितनी बार transmit किया होगा
  • AT&T का share price आज सुबह शुरुआती -2.6% गिरावट से काफी हद तक recover कर चुका है, इसलिए लगता है market AT&T को immune मान रहा है। दूसरी ओर Snowflake -3.9% नीचे है, और AT&T के अलावा भी उसके कई customers हैं
    https://www.marketwatch.com/investing/stock/T
    https://www.marketwatch.com/investing/stock/SNOW

    • मुझे कभी ऐसा impression नहीं मिला कि market data breaches की परवाह करता है। लगता है ज्यादातर कंपनियों को data breaches के लिए financially जिम्मेदार भी शायद ही ठहराया जाता है
      अगर share price में कोई असर दिखता है, तो मेरी राय में वह इस news से असंबंधित होने की संभावना ज्यादा है
    • यह वैसा ही है जैसे आपने data Salesforce में डाला और Salesforce breach हो गया। गलत vendor चुनने की जिम्मेदारी हो सकती है, लेकिन वास्तविक trust loss Salesforce की तरफ होगा
      इस मामले में, article के अनुसार Ticketmaster और Lending Tree breaches का कारण भी Snowflake था, इसलिए अभी Snowflake पर trust काफी गिरना स्वाभाविक है
    • cost कोई बड़ा मुद्दा नहीं है और customers भी कहीं और नहीं जाएंगे
      class action का नतीजा शायद यह होगा कि हर किसी को 2 डॉलर मिलने के बजाय 2000s के शुरुआती दौर की ringtone add-on service का free trial coupon मिल जाएगा, और अंत में recurring revenue ही बढ़ेगा
  • यूरोप में, संचालन के लिए ज़रूरी सीमा से आगे जाकर फोन रिकॉर्ड को व्यापक रूप से स्टोर करना कई देशों में अवैध होता, और सामान्य तौर पर भी राष्ट्रीय सुरक्षा के वास्तविक खतरे और अदालत की निगरानी में अस्थायी उपाय के अलावा यह European Convention on Human Rights के अनुरूप नहीं है[1]
    सर्विस प्रोवाइडर के पास शुरुआत से ही ऐसी चीजें स्टोर करने की कोई वजह नहीं है, और इसे कानून बनाकर ठीक करना भी मुश्किल नहीं है। बस इन्हें रखना ही अवैध कर देना चाहिए
    [1] https://curia.europa.eu/juris/document/document.jsf?text=&do...

    • बल्कि कई यूरोपीय देशों में अनिवार्य data retention अवधि होती है, और कई मामलों में यह इस लीक में शामिल बताए गए 6 महीने के रिकॉर्ड के बराबर या उससे लंबी भी है
      जर्मनी में यह तुलनात्मक रूप से छोटी है, 10 सप्ताह, लेकिन फिर भी ऐसे रिकॉर्ड रखना ज़रूरी है
      यह कहना कि यूरोप में ऐसे रिकॉर्ड इकट्ठा करना अवैध है, साफ तौर पर गलत है; उलटे रिकॉर्ड संग्रह आम तौर पर देश-दर-देश तय अवधि के लिए अनिवार्य होता है
      billing के लिए फोन रिकॉर्ड चाहिए होते हैं। ग्राहक अक्सर bill पर आपत्ति करते हैं, इसलिए उन्हें कुछ समय तक और रखना भी पड़ता है
    • स्टोर करने की कई वजहें हैं। बस उनमें से ज़्यादातर उस तरीके के उलट हैं जैसा लोग सोचते हैं कि कंपनियों को चलना चाहिए
      अफसोस है कि अमेरिका customer protection से ज़्यादा “disruptive innovation” को महत्व देता दिखता है, इसलिए data की कानूनी सुरक्षा Congress में लोकप्रिय नहीं है
    • मेरी समझ थी कि सरकार telcos को सभी फोन रिकॉर्ड इस तरह स्टोर करने का आदेश नहीं दे सकती। हालांकि लगता है कि telcos खुद ऐसा करें तो उन्हें रोक नहीं सकती
      मुझे लगता है यह GDPR प्रतिबंधों के दायरे में ज्यादा आएगा
    • लगता है आप ऐसी जगह रहते हैं जहां सरकार जनता के लिए है। अपने लिए बनी सरकार नहीं
    • NSA जो चाहता है, NSA ले लेता है। अगर सिस्टम मंशा के मुताबिक काम कर रहा है तो अलग कानून की जरूरत नहीं
  • उपभोक्ता data breaches के प्रति इतने सुन्न हो चुके हैं कि अब ऐसे मामलों पर भी गुस्सा लगभग नहीं आता। अगर उपभोक्ताओं का गुस्सा नहीं होगा, तो कंपनियों के पास data breaches रोकने के लिए ज्यादा मेहनत करने का बहुत कम incentive रहेगा

    • अब लगने लगा है कि data privacy जैसी चीज़ रह ही नहीं गई। आजकल बड़े customer database के administrators password सेट करने की तकलीफ क्यों उठाते हैं, यह भी समझ नहीं आता
    • Equifax के बाद लगता है किसी को परवाह नहीं रही। नाम, पता, phone number जैसी आम जानकारी नहीं, बल्कि business-critical data उजागर करने वाला कोई बड़ा B2B breach होगा तभी इसे बड़ी बात माना जाएगा
    • AT&T एक public company है। public companies को उसी हिसाब से जुर्माना देना चाहिए
      अगर ऐसे breaches पर अरबों डॉलर के जुर्माने लगने शुरू हों, तो कंपनियां अचानक security में निवेश करने लगेंगी
      हालांकि हाल के Supreme Court फैसले से सरकारी एजेंसियों की ताकत कमजोर हो रही है, इसलिए शायद यह संभव नहीं होगा
      अब लगता है civil courts, यानी class-action lawsuits के जरिए जुर्माना लगवाने पर निर्भर रहना पड़ेगा
    • कई कंपनियां शायद सोचती हैं कि cybersecurity teams पर पैसा झोंक देने से यह समस्या हल हो सकती है। लेकिन cybersecurity teams अक्सर प्रभावी नहीं होतीं
    • जब हम गुस्से में थे, तब भी हमने कुछ क्यों नहीं किया, यह समझ नहीं आता
  • मैंने अपना AT&T account 10 साल से भी पहले बंद कर दिया था, लेकिन इस साल मार्च वाली पिछली hacking में भी वे मेरा पुराना पता, पूरा नाम और Social Security Number स्टोर किए हुए थे
    यह सचमुच बेतुका है कि अक्षम संगठनों को वास्तविक रूप से दंडित करने वाला कोई ठीक-ठाक कानून नहीं है

  • इस साल की शुरुआत में भी AT&T या उसके vendor के breach की वजह से मेरा Social Security Number dark web पर चला गया। 1 साल की monitoring काफी नहीं है। जीवन भर चाहिए
    security उनकी चिंता नहीं है। मौजूदा स्थिति बदलने का कोई वास्तविक incentive नहीं है। ऐसी कंपनियों से अनिश्चितकाल तक monitoring का खर्च दिलवाना चाहिए

    • अमेरिका में Social Security Number को secret की तरह treat करना समझ नहीं आता। वह “password” नहीं, “username” होना चाहिए
      हमारे देश का national ID number जन्मतिथि, उस दिन जन्म लेने के क्रम का बढ़ता number, और checksum digit से calculate किया जा सकता है, और अगर आप थोड़ा भी personal business करते हैं तो आपको अपना personal tax number हर receipt या business purchase document पर लिखना पड़ता है
      यह जान लेने से कि आज पैदा हुए पहले लड़के का ID number 120702450001X है, किसी बुरे काम में मदद नहीं मिलती। checksum calculation करने की जहमत नहीं उठाई, लेकिन algorithm public है
    • कुछ मामलों में leaked information में Social Security Number सबसे छोटी समस्या भी हो सकता है
      सोचना चाहिए कि suicide prevention hotline, abortion clinic, loan repayment service आदि पर फोन करने वालों का क्या होगा
      phone number हो तो ऐसी बातें पता लगाई जा सकती हैं
    • 1980s के अंत में जब मैं college गया, तो मेरा Social Security Number अपने-आप student ID number के रूप में इस्तेमाल हुआ। 1990 में जब मैंने अपना पहला bank account खोला, तो Social Security Number ही account number के रूप में इस्तेमाल हुआ
    • Social Security Administration खुद टिकाऊ नहीं है, इसलिए अगर वह अगले 10 साल में fail हो गई तो यह समस्या नहीं रह जाएगी
  • TechCrunch article के मुताबिक cell tower identifiers भी शामिल थे, जिसका मतलब है कि लगभग location information भी शामिल थी
    https://techcrunch.com/2024/07/12/att-phone-records-stolen-d...

  • तो मेरा compensation कहां है, पता नहीं। जाहिर है, मुझे पता है कि कोई remedy नहीं है
    भारी मात्रा में customer personal data वाले data store पर multi-factor authentication चालू करने जैसी safe practices के लिए अगर कोई जिम्मेदार नहीं होगा, तो नतीजा यही होगा
    बिना माफी के बस report करके आगे बढ़ जाते हैं। बात “ओह, वे कमबख्त cyber criminals” पर खत्म हो जाती है

    • अगर आप court जाकर compensation मांगेंगे, तो संभव है वे कहें कि नुकसान साबित करें। क्या आप साबित कर पाएंगे?
    • ऐसी चीजों के लिए मुझे कुछ बार cheques मिले हैं। अंत में होता यह है कि claim form भरते हैं, करीब 5 साल इंतजार करते हैं, और किसी दिन डाक से बहुत छोटी रकम का cheque आ जाता है