Microsoft SharePoint हैकिंग से अमेरिका, राज्य सरकारें, कंपनियां समेत दुनिया भर में असर

 (washingtonpost.com)
6 पॉइंट द्वारा GN⁺ 2025-07-22 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • Microsoft SharePoint सर्वर की गंभीर कमजोरी का दुरुपयोग करते हुए अमेरिका की संघीय और राज्य सरकारों, विश्वविद्यालयों, ऊर्जा कंपनियों, एशियाई टेलीकॉम कंपनियों समेत दुनिया भर के संस्थानों और कंपनियों पर हैकिंग हमले किए गए
  • इस हैकिंग ने बिना पैच वाली 'zero-day' कमजोरी को निशाना बनाया, जिससे SharePoint सर्वरों की दसियों हज़ार मशीनें जोखिम में आ गईं। Microsoft ने केवल कुछ versions के लिए patch जारी किया है, जबकि बाकी versions अब भी असुरक्षित हैं
  • हमलावरों ने सर्वरों में संग्रहीत संवेदनशील डेटा की चोरी, पासवर्ड संग्रह, दोबारा घुसपैठ के लिए keys हासिल करने जैसे गंभीर नुकसान पहुंचाए। कुछ मामलों में सरकारी सूचना-प्रकटीकरण के दस्तावेज़ भंडार तक को "हाइजैक" कर पहुंच रोक दी गई
  • प्रभाव का दायरा केवल अमेरिका तक सीमित नहीं है, बल्कि यूरोप, एशिया, दक्षिण अमेरिका समेत कई देशों तक फैला है। FBI, CISA जैसी एजेंसियां आपात प्रतिक्रिया और सूचना साझाकरण में जुटी हैं
  • Microsoft हाल के वर्षों में बार-बार हुई सुरक्षा घटनाओं को लेकर आलोचना झेलता रहा है, और इस घटना ने भी patch में देरी, कमजोर सुरक्षा ढांचा, और हमलावरों की दोबारा घुसपैठ की संभावना जैसी संरचनात्मक सीमाओं को फिर उजागर किया है

Microsoft SharePoint सर्वर हैकिंग

  • अज्ञात हमलावरों ने Microsoft के collaboration software SharePoint की अब तक सार्वजनिक न हुई security vulnerability का फायदा उठाकर अमेरिका की संघीय और राज्य सरकारों, विश्वविद्यालयों, ऊर्जा कंपनियों, एशियाई टेलीकॉम कंपनियों समेत वैश्विक स्तर पर संस्थानों और कंपनियों पर हमला किया
  • यह हमला zero-day (0-day) vulnerability पर केंद्रित था, जिसके कारण सर्वर के भीतर डेटा लीक और चोरी, encryption keys की प्राप्ति सहित कई तरह के नुकसान हुए

कमजोरी और patch की स्थिति

  • विशेषज्ञों के अनुसार SharePoint के दसियों हज़ार सर्वर जोखिम में हैं। हमला केवल on-premises सर्वरों तक सीमित है; cloud-based सेवाएं (Microsoft 365 आदि) इससे प्रभावित नहीं हैं
  • Microsoft ने रविवार को एक version के लिए patch जारी किया, लेकिन 2 versions अब भी बिना patch के हैं। प्रभावित संस्थान अपनी ओर से response और अस्थायी उपाय कर रहे हैं
  • इस बात पर ज़ोर दिया गया कि हमलावर patch के बाद भी हासिल की गई keys के जरिए दोबारा प्रवेश कर सकते हैं, इसलिए केवल तेज़ी से patch लगाने भर से नुकसान की भरपाई मुश्किल है

हमले और नुकसान का दायरा

  • CrowdStrike, Palo Alto Networks, Eye Security समेत कई security कंपनियों ने पुष्टि की है कि दर्जनों से अधिक संस्थान और कंपनियां प्रभावित हुई हैं
  • प्रभावित संस्थानों में अमेरिका की संघीय और राज्य सरकारें, यूरोपीय सरकारी एजेंसियां, विश्वविद्यालय, ऊर्जा कंपनियां और एशियाई टेलीकॉम कंपनियां शामिल हैं
  • एक राज्य सरकार में निवासियों के लिए आधिकारिक दस्तावेज़ repository हैक होकर inaccessible हो गई, और कुछ जगहों पर डेटा को पूरी तरह मिटा देने वाले "wiper attack" की आशंका भी जताई गई

सुरक्षा उद्योग और सरकारी प्रतिक्रिया

  • FBI, CISA जैसी अमेरिकी सरकारी एजेंसियां तत्काल जांच और संयुक्त प्रतिक्रिया में लगी हुई हैं
  • CISA ने निजी infosec फर्मों से रिपोर्ट मिलते ही Microsoft के साथ सहयोग शुरू किया और patch development को तेज़ करने के लिए दबाव बनाया
  • Center for Internet Security जैसी संस्थाओं ने करीब 100 संगठनों को आपात vulnerability alerts भेजे, जबकि budget cuts के कारण information sharing और incident response कर्मियों की संख्या काफी घट चुकी है, जिससे प्रतिक्रिया में कठिनाई आ रही है

Microsoft और दोहराते सुरक्षा विवाद

  • Microsoft ने पिछले 2 वर्षों में लगातार हुई हैकिंग घटनाओं (जैसे 2023 में चीन से जुड़ा सरकारी email hack, उसके अपने network में सेंध, cloud programming errors आदि) के कारण सार्वजनिक संस्थानों और सरकारी ग्राहकों का भरोसा कमजोर होता देखा है
  • इस हैकिंग ने patch में देरी, समान vulnerabilities से न सीखना, और बार-बार ढीला सुरक्षा प्रबंधन जैसी संरचनात्मक समस्याओं को फिर सामने ला दिया
  • अमेरिकी रक्षा विभाग के cloud प्रोजेक्ट्स में चीन-आधारित engineers के उपयोग को लेकर विवाद भी जुड़ गया है, जिससे सार्वजनिक क्षेत्र की Microsoft पर निर्भरता को लेकर चिंता बढ़ी है

निष्कर्ष और आगे की स्थिति

  • यह घटना दिखाती है कि बड़े पैमाने के collaboration solution में एक ही कमजोरी दुनिया भर के असंख्य संस्थानों और कंपनियों पर गंभीर असर डाल सकती है
  • हमलावर हासिल की गई encryption keys के आधार पर patch के बाद भी लंबे समय तक सिस्टम में बने रह सकते हैं, इसलिए केवल patch से आगे बढ़कर बुनियादी सुरक्षा मज़बूत करना ज़रूरी है
  • सुरक्षा कर्मियों और budget में कटौती, तथा IT governance की कमी को सार्वजनिक क्षेत्र की cyber threat response क्षमता की संरचनात्मक कमजोरी के रूप में देखा जा रहा है

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2025-07-22
Hacker News की राय

  • CISA ने सुरक्षा कमजोरी वाले संगठनों को सलाह दी है कि आधिकारिक patch आने तक उस product को इंटरनेट से अलग रखें, लेकिन मुझे यह दिलचस्प लगता है कि कुछ संगठन SharePoint को खुद on-premises host भी करते हैं और उसे इंटरनेट पर expose भी करते हैं; मैंने तो सोचा था कि ऐसे ज़्यादातर संगठन VPN अनिवार्य करते होंगे

    • यह देखकर अफसोस होता है कि CISA पहले की तुलना में व्यावहारिक प्रतिभा खोकर केवल राजनीतिक अनुरूपता को महत्व देने वाला समूह बनता जा रहा है; हाल ही में Arizona पर Iranian hackers ने हमला किया, लेकिन वहाँ से मदद नहीं माँगी गई — ऐसा एक मामला साझा किया गया लेख लिंक; CISA जैसी संस्था, जो व्यापक हमलों की जाँच करती है, वास्तव में बहुत महत्वपूर्ण है, और इस समय उसके राजनीतिक मानकों से प्रभावित होने पर चिंता जताई गई Techdirt लिंक

    • Best practice यह है कि मानकर चला जाए कि network पहले से ही compromise हो चुका है; VPN भी पूरी security guarantee नहीं देता। बड़े संगठनों में devices खो जाना या उनका प्रबंधन कठिन होना आम है, इसलिए बिना शर्त ‘zero trust’ approach और कहीं से भी access की सुविधा महत्वपूर्ण है। संगठन data पर नियंत्रण भी चाहते हैं और काम में flexibility भी

    • SharePoint को मूल रूप से public website चलाने के लिए भी सक्रिय रूप से promote किया गया था; cloud migration से पहले Microsoft sales reps दफ्तरों में आकर यह तक कहते थे कि नए SharePoint की वजह से Wordpress गायब हो जाएगा। इसी inertia की वजह से आज भी कई संगठन पुराने तरीके पर टिके हुए हैं

    • SharePoint, Exchange जैसी internal services को pre-auth reverse proxy के पीछे चलाना भी कोई असामान्य बात नहीं है

    • पहले Microsoft ने SharePoint को intranet उपयोग के लिए बहुत aggressively market किया था, इसलिए कई संस्थानों ने इसे अपनाया; SharePoint 2019 के service end की वजह से कई संगठन जल्दी-जल्दी replacement system बनाने की कोशिश कर रहे हैं

  • यह जानने की जिज्ञासा है कि Principal Engineer Copilot ऐसी कमजोरी को रोक क्यों नहीं पाया

    • हो सकता है यह vulnerability Copilot को यह title मिलने से पहले से ही मौजूद रही हो; संभव है कि यह intern के समय आई समस्या रही हो

    • Hackers, customers, employees, admins — सब एक जैसे लगते हैं; बार-बार China, अपने ही customers, और China-आधारित admins या employees से hack होने के बाद लगता है कि पूरी company पहले ही infiltrate हो चुकी है। PE copilot तो उल्टा हमले में मदद कर रहा हो सकता है — ऐसी अविश्वास भरी राय भी दिखी

    • Hackers भी Copilot इस्तेमाल कर सकते हैं, तो आखिरकार किसी एक पक्ष का जीतना तय है(?)

  • मैंने SharePoint पर बहुत ज़्यादा समय बिताया है; उसे इंटरनेट पर expose करना कभी अच्छा विकल्प नहीं लगा। लगता है किसी version के बाद इसे public web server उपयोग के लिए भी promote किया गया था, लेकिन मैंने तो हर instance को network पर अलग-थलग करके ही deploy किया

    • 2010 के शुरुआती वर्षों में Microsoft ने SharePoint को internet site solution के रूप में बहुत aggressively market किया था, और मैंने ऐसे उदाहरण भी देखे जहाँ BMW या Ferrari जैसे यूरोपीय car makers ने इसे global marketing site के लिए इस्तेमाल किया। लेकिन site per $40,000 जैसी कीमत बहुत ज़्यादा थी, इसलिए यह लंबे समय तक नहीं चला

    • कई साल पहले जब मैंने थोड़े समय के लिए SharePoint इस्तेमाल किया था, तब मुझे लगा था कि public web hosting ही इसका मूल उद्देश्य है

  • Pentagon कर्मचारियों के बीच यह मज़ाक अक्सर सुनने को मिलता था कि “अगर अमेरिकी सेना को गिराना है, तो बस SharePoint हटा do”; military speeches में यह लगभग हमेशा आने वाला joke है

    • एक समय संगठन के भीतर SharePoint का बहुत इस्तेमाल होता था

  • मेरी real-time security alert feed ने यह खबर major media से पहले पकड़ ली थी ZeroDayPublishing फ़ीड

    • क्या यह RSS feed भी देता है, यह जानने की जिज्ञासा है

  • On-premises enterprise business में Microsoft से ज़्यादा Red Hat होना चाहिए — खासकर DoD जैसे महत्वपूर्ण ग्राहकों के लिए ऐसी vulnerabilities बिल्कुल स्वीकार्य नहीं हैं। बहुत लोग कहते हैं कि Google को भेदना आसान नहीं, फिर भी सरकारी एजेंसियाँ SharePoint जैसी कमजोर on-premises solutions इस्तेमाल करती हैं। सवाल यह है कि वे सस्ते और व्यापक Linux परिवार की ओर क्यों नहीं जाते — क्या security सच में सबसे बड़ी प्राथमिकता नहीं है?

    • मेरा मानना है कि Microsoft सरकारी संस्थानों की ज़रूरी regulations और bureaucratic procedures को बहुत अच्छी तरह navigate कर लेता है; Linux पक्ष में इस स्तर पर इतना अच्छा करने वाली किसी जगह की मुझे जानकारी नहीं है

  • क्या Microsoft ने वास्तव में China में रहने वाले कर्मचारियों के माध्यम से अमेरिकी रक्षा विभाग के servers manage कराए थे? लगता है DoD के अंदर bhi SharePoint इस्तेमाल होता होगा

    • DoD के लिए M365 का एक अलग version (SPO सहित) इस्तेमाल होता है, लेकिन इसका उस article से कोई संबंध नहीं है

    • संबंधित article link Reuters लेख

    • Article का सार यह है: “Cloud services में programming flaw की वजह से China-संबद्ध hackers संघीय सरकार के emails चुरा सके, और ProPublica ने खुलासा किया कि Microsoft हाल तक अमेरिकी defense cloud program में China-आधारित support staff का उपयोग कर रहा था; इस पर Defense Secretary ने पूर्ण समीक्षा का आदेश दिया”

  • CISA के budget में भारी कटौती के परिणामस्वरूप crisis response staff bhi 65% तक घट गया, इसलिए incidents संभालने में बहुत अधिक समय लगा — यह बात खास तौर पर ध्यान खींचती है

    • समझ नहीं आता कि ज़्यादा गुस्सा किस बात पर आए: बड़ी संख्या में skilled professionals का नौकरी खो देना, या फिर इतनी कटौती के बाद bhi वास्तविक waste लगभग न मिलना। सचमुच बेहूदा स्थिति है

  • शायद यह unpopular opinion हो, लेकिन मन में आता है कि ऐसी घटनाएँ और हों ताकि कंपनियाँ SharePoint इस्तेमाल करना बंद करें। 2017 के बाद से मैंने इसे इस्तेमाल नहीं किया, लेकिन जब bhi किया, यह बेहद खराब लगा; मैंने ‘SharepoIT Happens’ लिखी T-shirt भी पहनी थी, और मेरे सहकर्मी भी SharePoint से नफ़रत करने पर सहमत थे

    • जब तक M365 का उपयोग बंद नहीं किया जाता, SharePoint का उपयोग बंद करना संभव नहीं है। उदाहरण के लिए, Teams में team बनाते ही अपने-आप M365 group बनता है, और हर group के लिए SharePoint site तथा Exchange mailbox बनते हैं। Channel files SharePoint में store होती हैं, messages Exchange में store होते हैं, और personal files OneDrive (=SharePoint) में store होती हैं। यानी व्यावहारिक रूप से पूरा M365 ही SharePoint और Exchange पर बना है

    • मैं पहले ऐसी company में था जहाँ Microsoft ने SharePoint-आधारित automatic DRM system लागू करने की कोशिश की थी। Document upload करते ही SharePoint अपने-आप DRM लगा देता, और user जब download करता तो file केवल निर्दिष्ट device पर ही खुलती। लेकिन login method के आधार पर बिना DRM वाली file bhi वैसे ही मिल जाती थी, और Microsoft consultants भी आखिरकार इसे ठीक नहीं कर पाए

    • हमारी company में SharePoint के साथ एक अलग internal docs/notes site भी है (जैसे Notion/Quip/Confluence तरह की), और ज़्यादातर developers बाद वाली का उपयोग करते हैं। लेकिन कुछ कर्मचारी केवल Word files upload करते हैं, इसलिए आखिर में सबको SharePoint का उपयोग करना ही पड़ता है, और documents दो जगह ढूँढने पड़ते हैं

    • मेरे manager ने एक साल से ज़्यादा समय तक लगातार SharePoint setup करवाया, लेकिन 6 महीने बाद जब मैंने ठीक से जाँच की तो यह कुछ खास काम का नहीं लगा। अंत में manager ने किसी और technician को रखकर एक ही दिन में install करवा दिया, पर कोई इसका उपयोग नहीं करता; जो वाकई बचा, वह मेरी तेज़ USB drive की चोरी थी

    • सरकारी संस्थानों के साथ काम करने वाली mid-sized companies के नज़रिए से, बेहतर solutions होने पर भी उनका उपयोग लगभग नहीं हो पाता। Cybersecurity requirements इतनी अधिक हैं कि SharePoint ‘व्यावसायिक रूप से व्यवहार्य एकमात्र’ option बन जाता है। SharePoint असुविधाजनक होने पर bhi alternatives को ‘risk’ माना जाता है। File list scroll न होना, automation problems, M365 tenants के बीच login टूटना, unreadable URLs, कमजोर search performance, table/filter errors, permission-setting UI का छिपा होना — ऐसी बड़ी-छोटी बहुत शिकायतें हैं। ये ऐसी समस्याएँ नहीं हैं जिन्हें बस search करके ठीक कर लिया जाए

  • अगर मैं किसी company board का member बनूँ, तो जो CTO या founder स्वेच्छा से Microsoft solutions अपनाने की वकालत करे, उस पर मैं आसानी से भरोसा नहीं करूँगा। Teams में Microsoft Office link पर हर click के साथ Microsoft पर मेरा अविश्वास और बढ़ता है; SharePoint में vulnerability हो, तो इसमें मुझे बिल्कुल भी आश्चर्य नहीं होगा