Meta पर पासवर्ड plain text में स्टोर करने के लिए $102m (1330 करोड़ रुपये) का जुर्माना

 (engadget.com)
19 पॉइंट द्वारा GN⁺ 2024-09-30 | 7 टिप्पणियां | WhatsApp पर शेयर करें
  • आयरलैंड के डेटा प्रोटेक्शन कमीशन (DPC) ने 2019 की सुरक्षा उल्लंघन घटना की जांच पूरी करने के बाद Meta पर 10.15 करोड़ डॉलर (9.1 करोड़ यूरो) का जुर्माना लगाया
  • Meta ने मूल रूप से जनवरी 2019 में घोषणा की थी कि उसके सर्वरों पर कुछ यूज़र पासवर्ड plain text में स्टोर किए गए थे
  • एक महीने बाद, उसने अपडेट किया कि लाखों Instagram पासवर्ड भी आसानी से पढ़े जा सकने वाले फ़ॉर्मेट में स्टोर किए गए थे
  • Meta ने यह नहीं बताया कि कितने अकाउंट प्रभावित हुए, लेकिन उस समय एक वरिष्ठ कर्मचारी ने Krebs on Security को बताया था कि इसमें अधिकतम 60 करोड़ पासवर्ड शामिल हो सकते हैं
  • कुछ पासवर्ड 2012 से कंपनी के सर्वरों पर plain text में स्टोर थे, और 20,000 से अधिक Facebook कर्मचारी उन्हें खोज सकते थे
  • DPC ने पुष्टि की कि पासवर्ड किसी बाहरी पक्ष को उपलब्ध नहीं कराए गए थे
  • DPC ने माना कि Meta ने GDPR के कई नियमों का उल्लंघन किया
    • यूज़र पासवर्ड को plain text में स्टोर करने से जुड़े personal data breach की सूचना बिना देरी के DPC को नहीं दी
    • यूज़र पासवर्ड को plain text में स्टोर करने से जुड़े personal data breach का दस्तावेजीकरण नहीं किया
    • यूज़र पासवर्ड के अनधिकृत प्रोसेसिंग के खिलाफ सुरक्षा सुनिश्चित करने के लिए उचित तकनीकी उपायों का उपयोग नहीं किया
  • DPC के डिप्टी कमिश्नर Graham Doyle ने कहा, "यूज़र पासवर्ड plain text में स्टोर नहीं किए जाने चाहिए, और यह खास तौर पर इसलिए ध्यान में रखा जाना चाहिए क्योंकि यह social media अकाउंट तक पहुंच देने वाली संवेदनशील जानकारी है"
  • DPC ने जुर्माने के अलावा Meta को चेतावनी भी दी, और आयोग के अंतिम निर्णय की घोषणा होने पर यह और स्पष्ट होगा कि इसका Meta पर क्या असर पड़ेगा

GN⁺ की राय

  • यह मामला बड़ी tech कंपनियों की privacy practices के लिए एक चेतावनी की तरह है। यह फिर याद दिलाता है कि यूज़र डेटा को सुरक्षित तरीके से संभालना कितना महत्वपूर्ण है
  • Meta को इस घटना के बाद अपने सुरक्षा सिस्टम की बड़े पैमाने पर समीक्षा और सुधार करना चाहिए। encryption जैसे तकनीकी उपायों के साथ-साथ कर्मचारी प्रशिक्षण और internal audit जैसी संगठनात्मक कोशिशें भी जरूरी लगती हैं
  • GDPR उल्लंघनों पर लगने वाले जुर्माने लगातार बढ़ रहे हैं। कंपनियों को समझना चाहिए कि GDPR सहित विभिन्न देशों के data protection कानूनों का कड़ाई से पालन करना risk management के लिहाज से भी महत्वपूर्ण है
  • दूसरी ओर, इस मामले में सामने आई सुरक्षा कमजोरी के वास्तविक दुरुपयोग के संकेत की पुष्टि नहीं हुई। इसके बावजूद Meta पर भारी जुर्माना लगाया गया, क्योंकि संभवतः समस्या की गंभीरता और संबंधित नियमों के उल्लंघन की मात्रा को बड़ा माना गया
  • पासवर्ड मैनेजमेंट के संदर्भ में plain text स्टोरेज के अलावा salt/hash का उपयोग, मजबूत password policy लागू करना जैसी कई सुरक्षा परतें जरूरी हैं। कंपनियों को पूरे संगठन स्तर पर व्यवस्थित password management policy बनाकर उसे सख्ती से लागू करने की जरूरत है

संबंधित पढ़ाई

7 टिप्पणियां

 
princox 2024-09-30

वाह... यह तो थोड़ा चौंकाने वाला है।
 
savvykang 2024-09-30

फेसबुक ने फिर फेसबुक जैसा ही किया है
 
wedding 2024-09-30

FAANG में plain text? यह तो बिल्कुल अविश्वसनीय खबर है..
 
GN⁺ 2024-09-30
Hacker News टिप्पणियाँ

  • Meta ने पासवर्ड को plain text में स्टोर न करने की कोशिश की थी, लेकिन एक bug की वजह से plain text पासवर्ड logs में रिकॉर्ड हो गए थे

    • 2012 से 60 करोड़ पासवर्ड आसानी से पढ़े जा सकने वाले फ़ॉर्मेट में स्टोर किए गए थे, और 20,000 से अधिक Facebook कर्मचारियों के पास इन तक पहुँच थी
    • यह सिर्फ एक साधारण गलती नहीं, बल्कि एक गंभीर समस्या है

  • मौजूदा revenue का 0.1% जुर्माना

    • 1 billion dollar सालाना revenue वाली कंपनी को 100,000 dollar जुर्माने के रूप में देने होंगे
    • इससे सही security बनाए रखने की प्रेरणा नहीं मिलती
    • अगर logs के ज़रिए debugging बेहतर करके efficiency को 0.1% से ज़्यादा बढ़ाया जा सके, तो कंपनी के लिए यह अच्छा सौदा है

  • Meta इंटरव्यू में hashing और rainbow table attack पर सवाल एक तरह की मदद की पुकार हो सकते हैं

  • 102 million dollar का जुर्माना बड़ी रकम लगता है, लेकिन लीक हुए हर plain text पासवर्ड पर जुर्माना 1 dollar भी नहीं बनता

    • जुर्माना अधिकारियों को समय पर सूचित न करने के लिए लगाया गया था
    • प्रभावित users के बारे में किया गया मूल्यांकन दिलचस्प है

  • 2019 की data breach घटना 2012 में बनाए गए सिस्टम में हुई थी

    • GDPR 2018 में लागू हुआ था, और Meta पर 2019 की data breach को ठीक से उजागर न करने के कारण जुर्माना लगाया गया

  • समझ नहीं आता कि इतनी बड़ी कंपनी ऐसी गलती कैसे कर सकती है

    • पासवर्ड hashing और salting बुनियादी security प्रक्रियाएँ हैं
    • Meta/Facebook जैसी बड़ी कंपनी ऐसी गलती करे, यह कल्पना करना मुश्किल है

  • उम्मीद है कि authentication टीम के सिस्टम ने पासवर्ड वाले payload को logs में रिकॉर्ड नहीं किया होगा

    • संभव है कि यह किसी दूसरे team के स्वामित्व वाले infrastructure component में हुआ हो

  • दोहराई गई चर्चा: लिंक
 
darkhi 2024-10-01

लगता है कि सर्वर पर स्टोर करते समय इसे जानबूझकर plain text में सेव नहीं किया गया था, बल्कि logging की प्रक्रिया में दर्ज होते वक्त यूज़र द्वारा डाला गया plain text पासवर्ड सेव हो गया था.
देश-विदेश की परवाह किए बिना ऐसे मामले चुपचाप काफ़ी मिल जाते हैं... (जैसे log file में पासवर्ड सेव हो जाना...)
 
2024-09-30
[यह टिप्पणी छिपाई गई है.]