Allianz Life ने घोषणा की कि साइबर हमले में ग्राहकों की अधिकांश व्यक्तिगत जानकारी चोरी हो गई

 (techcrunch.com)
2 पॉइंट द्वारा GN⁺ 2025-07-28 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • अमेरिकी बीमा कंपनी Allianz Life साइबर हमले का शिकार हुई, जिसमें ग्राहकों, वित्तीय पेशेवरों और कुछ कर्मचारियों की व्यक्तिगत जानकारी चोरी हो गई
  • हमलावरों ने cloud-आधारित CRM सिस्टम से अधिकांश जानकारी social engineering तकनीकों के जरिए हासिल की
  • Allianz Life ने कानूनी रिपोर्टिंग प्रक्रिया पूरी की और FBI को सूचित किया, लेकिन संदिग्ध हैकर समूह या पीड़ितों की संख्या सार्वजनिक नहीं की
  • हाल के समय में पूरे बीमा उद्योग में इसी तरह के data breach मामले लगातार सामने आए हैं, और इनमें से कई को Scattered Spider हैकर समूह से जुड़ा माना जा रहा है
  • पीड़ितों को व्यक्तिगत सूचना भेजने की प्रक्रिया 1 अगस्त के आसपास शुरू होने वाली है

Allianz Life साइबर हमले का सार

  • अमेरिका की बड़ी बीमा कंपनी Allianz Life ने TechCrunch को आधिकारिक रूप से पुष्टि की कि जुलाई 2025 के मध्य में हुई data breach घटना में ग्राहकों सहित बड़ी संख्या में लोगों की व्यक्तिगत जानकारी चोरी हुई
  • Allianz Life के प्रवक्ता ने इस घटना को आधिकारिक तौर पर स्वीकार करते हुए हमले की तारीख 16 जुलाई 2025 बताई
  • हमलावरों ने third-party cloud CRM (Customer Relationship Management) सिस्टम तक पहुंच बनाकर अधिकांश ग्राहकों, वित्तीय पेशेवरों और कुछ कर्मचारियों की personally identifiable information को social engineering तकनीकों के जरिए चुरा लिया

data breach और प्रतिक्रिया की स्थिति

  • data breach की जानकारी Maine राज्य में दायर कानूनी सूचना के माध्यम से सार्वजनिक हुई, लेकिन प्रभावित ग्राहकों की संख्या तुरंत नहीं बताई गई
  • Allianz Life के अमेरिका में लगभग 14 लाख ग्राहक हैं, जबकि इसकी parent company Allianz के दुनिया भर में 12.5 करोड़ से अधिक ग्राहक हैं
  • Allianz Life ने FBI को घटना की सूचना दी, लेकिन हैकरों की ओर से किसी धन की मांग हुई या सीधा संपर्क हुआ, इस पर कुछ नहीं बताया
  • कंपनी ने जोर देकर कहा कि हैकर ने केवल CRM सिस्टम के जरिए ही पहुंच बनाई, और नेटवर्क के अन्य सिस्टम में सेंध के कोई सबूत नहीं मिले

उद्योग में समान हैकिंग घटनाएं और पृष्ठभूमि

  • पिछले एक महीने में Aflac सहित कई बीमा कंपनियों को निशाना बनाकर बड़े पैमाने पर हैकिंग घटनाएं लगातार हुई हैं
  • Google के security researchers ने जून में बताया था कि वे पूरे बीमा उद्योग में कई घुसपैठ घटनाओं को देख रहे हैं, और उनका आरोप social engineering का इस्तेमाल करने वाले Scattered Spider हैकर समूह पर है
    • social engineering तकनीक: जैसे फर्जी फोन कॉल के जरिए help desk कर्मियों को धोखा देकर network access हासिल करना
  • Scattered Spider पहले ब्रिटेन के retail sector, aviation और transport, तथा Silicon Valley की बड़ी IT कंपनियों को भी निशाना बना चुका है

आगे की कार्रवाई और सूचना

  • Allianz Life प्रभावित ग्राहकों और अन्य हितधारकों को 1 अगस्त के आसपास से व्यक्तिगत रूप से सूचित करना शुरू करेगी
  • सुरक्षा से जुड़ी अतिरिक्त जानकारी, टिप्स और पूछताछ के लिए अलग encrypted channel की सिफारिश की गई है

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2025-07-28
Hacker News राय

  • मैं अक्सर यह बात कहता हूँ, और मुझे पता है कि यह अलोकप्रिय राय है, लेकिन क्यों है यह समझ नहीं आता
    सिक्योरिटी researchers, whitehat hackers, और greyhat hackers को, अगर वे कमजोरियाँ ढूँढकर सिर्फ उनकी रिपोर्ट करते हैं, तो मजबूत कानूनी सुरक्षा मिलनी चाहिए
    दुर्भावनापूर्ण hackers लगातार security vulnerabilities तलाशते रहते हैं, लेकिन उन्हें रोकने वाला कोई सिस्टम नहीं है
    इसके उलट, अगर कोई नेकनीयत hacker वही काम करे तो उस पर गंभीर आपराधिक आरोप लग सकते हैं
    हम सुरक्षित सिस्टम बनाने में असफल रहे हैं, और यह बात अनुभव से साफ हो चुकी है
    शर्म की बात है, लेकिन हमारी ज्यादातर बड़ी कंपनियों और संस्थाओं में सुरक्षित सिस्टम बनाने की क्षमता लगभग नहीं है
    इस सच्चाई से बचने की एक वजह यह भी है कि वे internal red-team security research तक की अनुमति नहीं देते
    नतीजा यह है कि पूरी स्थिति कंपनियों और ताकतवर संस्थाओं के पक्ष में झुक जाती है
    कंपनियाँ कहती हैं, "हमारे सिस्टम हमारी जिम्मेदारी हैं, और बिना अनुमति उन्हें test नहीं किया जा सकता। लेकिन अगर data leak हो जाए तो हमारी कोई जिम्मेदारी नहीं है"
    यानी जब जिम्मेदारी लेनी हो या नहीं लेनी हो, संगठन अपनी सुविधा के हिसाब से दोनों में से जो चाहे चुन लेते हैं—यही विडंबना है
    क्या कंपनियाँ अपने सिस्टम की सुरक्षा के लिए जिम्मेदार हैं, या यह हम सबकी साझा जिम्मेदारी है? यह बात साफ होनी चाहिए
    जब किसी देश की आधी आबादी का data बार-बार leak होता है, तो यह ऐसा मुद्दा लगता है जिसमें सबकी हिस्सेदारी है
    और यह वास्तव में राष्ट्रीय सुरक्षा का सवाल है
    मसलन, क्या कोई स्वतंत्र निकाय यह जाँचता है कि राष्ट्रीय power grid सुरक्षित है या नहीं, या मैं खुद इसे कानूनी रूप से test कर सकता हूँ?
    नहीं, ऐसा नहीं कर सकते। कोशिश भर करना भी गंभीर अपराध बन जाता है
    ऐसे में ताकतवर संगठन अपने सिस्टम की सुरक्षा में खामी होने पर भी कुछ न करें, और बाहर वालों को उन कमजोरियों का अध्ययन करने का भी अधिकार न हो
    आखिरकार हम राष्ट्रीय सुरक्षा को corporate convenience और कंपनियों को शर्मिंदगी से बचाने के लिए कुर्बान कर रहे हैं

    • इससे यह सोचने पर मजबूर होना पड़ता है कि क्या Google, facebook, Microsoft के customer DB वास्तव में कभी hack हुए थे
      आज जो कंपनियाँ software को इतनी लापरवाही से बनाती हैं, उनकी जवाबदेही लगभग नहीं है
      हर data breach पर कंपनी के आकार के हिसाब से उसे नुकसान उठाना चाहिए
      उदाहरण के लिए, Equifax घटना इतनी बड़ी थी कि लगभग कंपनी ही ढह जानी चाहिए थी
      जब तक जुर्माना अरबों डॉलर का न हो, न चेतावनी पैदा होगी न internal audit ठीक से होगा
      अभी तो practically security पर ध्यान देने की कोई वजह ही नहीं है

    • अगर सच में ऐसा ढाँचा बने जिसमें कंपनियों को कड़ी सजा मिले—मान लीजिए regulator नुकसान का आकलन करे और लंबे समय तक penalties लगाए—तो share price गिरेगी और कंपनियाँ security को गंभीरता से लेने पर मजबूर होंगी
      लेकिन हकीकत इसके उलट है; अक्सर कंपनियों को बस हल्की-सी चेतावनी देकर छोड़ दिया जाता है

    • दिलचस्प तर्क है
      लेकिन अगर whitehat और greyhat दोनों को कानूनी सुरक्षा मिल जाए, तो blackhat hackers पहले से ही हर सिस्टम में मनमर्जी से घुसकर बाद में यह बहाना बना सकते हैं कि "मैं तो बस vulnerability ढूँढ रहा था"
      वे कमजोरी report किए बिना सारे तरीके याद रख सकते हैं और बाद में असली हमले में इस्तेमाल कर सकते हैं
      यहाँ तक कि कोई पूरी जिंदगी whitehat होने का दिखावा कर सकता है और चुपचाप वह जानकारी बेच भी सकता है
      मौजूदा व्यवस्था कम से कम ऐसे व्यवहार को कुछ हद तक रोकती है

    • अगर ऐसी समस्या से बचना है, तो web में कुछ हद तक anonymity होनी चाहिए, और अगर किसी को गलती से कोई security vulnerability मिल जाए या सामान्य तरीके से काम करते हुए समस्या पैदा हो जाए, तो वह अपराध न माना जाए
      साथ ही अगर database में strings की जगह asymmetric encryption वाले tokens स्टोर किए जाएँ, ताकि leak होने पर user को service से मुआवजा मिल सके, तो शायद समाधान आसान हो
      लेकिन कोई भी कंपनी इस तरह users की सुरक्षा की सच में गारंटी देना नहीं चाहती
      अंततः ज्यादातर security activity सिर्फ दिखावा बनकर रह जाती है

    • यह समझना जरूरी है कि हर security research एक जैसी नहीं होती
      बहुत-से लोग जिस commonsense research से सहमत होंगे—जैसे संयोग से vulnerability मिल जाना और उसकी रिपोर्ट कर देना—उसे निश्चित रूप से सुरक्षा मिलनी चाहिए
      लेकिन बिना साफ अनुमति के किया गया penetration testing वास्तव में सिस्टम में बाधा डाल सकता है
      अगर सबको बिना भेदभाव इसकी छूट दे दी जाए, तो अच्छी तरह बनाए गए सिस्टम भी प्रभावित हो सकते हैं
      encryption algorithms जैसे कुछ क्षेत्र तकनीकी रूप से हल किए जा सकते हैं, लेकिन cybersecurity अब भी कानून और भरोसे पर निर्भर करती है

  • इस तरह के लगातार data breaches incentive structure बदलकर कम किए जा सकते हैं, लेकिन व्यवहार में यह मुश्किल लगता है
    इसे पूरी तरह रोका नहीं जा सकता—लोग गलतियाँ करते हैं, और पैमाना बड़ा हो तो गलतियाँ भी बढ़ती हैं
    लेकिन इसका मतलब यह नहीं कि कोशिश ही न की जाए
    इसके साथ-साथ personal data leak से होने वाले नुकसान को कम करने के कुछ उपाय भी अपनाने चाहिए
    जन्मतिथि, नाम, पता, फोन नंबर, ईमेल, SSN जैसी जानकारी को secret मानना बंद करना चाहिए, और उन रास्तों को बंद करना चाहिए जिनसे उनका इस्तेमाल वास्तव में identity fraud के लिए किया जा सकता है
    मुझे identity theft शब्द ही पसंद नहीं है—इससे ऐसा लगता है जैसे गलती पीड़ित की हो
    असल समस्या यह है कि कंपनियाँ सामने वाले की पहचान ठीक से verify किए बिना transaction कर देती हैं
    जिम्मेदारी का बोझ कंपनी पर होना चाहिए
    उदाहरण के लिए, अगर कोई bank मेरे नाम पर loan जारी कर दे, तो जिम्मेदारी bank की होनी चाहिए, मेरी नहीं
    अगर सिर्फ यह ढाँचा बदल जाए, तो कंपनियाँ पहचान की जाँच बहुत गंभीरता से करेंगी और incentives भी सही हो जाएँगे
    बेशक data breach का मसला सिर्फ identity theft तक सीमित नहीं है, लेकिन कम-से-कम इस हिस्से को काफी हद तक सुलझाया जा सकता है

    • अगर आप भी इस बात से सहमत हैं कि मुझे identity theft शब्द पसंद नहीं है, तो मैं यह sketch video सुझाऊँगा
      https://www.youtube.com/watch?v=CS9ptA3Ya9E

    • "अगर incentives सही कर दिए जाएँ तो leaks कम होंगे"—इस दावे के संदर्भ में, सवाल यह है कि breach के बाद नुकसान सँभालने की लागत वाकई उसे जड़ से रोकने की लागत से ज्यादा है या नहीं
      राष्ट्रीय सुरक्षा से जुड़े मामलों को छोड़ दें, तो यह तय तौर पर कहना थोड़ा मुश्किल है कि नुकसान, preventive measures की लागत से बड़ा ही होगा

    • 'identity theft' शब्द मुझे जरूरी नहीं लगता कि ऐसा संकेत देता है कि गलती पीड़ित की थी
      अगर किसी की कोई चीज चोरी हो जाए, तो हम यह नहीं कहते कि गलती उसी की थी
      जैसे bank vault से मेरा पैसा चोरी हो जाए तो वह मेरी जिम्मेदारी नहीं होगी
      लेकिन cybersecurity में हमलावर दुनिया के दूसरी तरफ कहीं भी हो सकता है, इसलिए पीड़ित की रक्षा करना कठिन हो जाता है
      आखिरकार, पीड़ित तो पीड़ित ही है

    • समाधान पहले से मौजूद है—MFA (multi-factor authentication) और IdP (identity provider) federation
      एक चीज वह है जो आप जानते हैं (data), और दूसरी वह जो आपके पास है या जो बायोमेट्रिक है (जैसे fingerprint)
      IdP दोनों तरफ का authentication संभालता है और जिम्मेदारी भी बाँट देता है
      driving licence की तरह, वह मेरे पास भी है और government system में verify भी किया जा सकता है
      समस्या यह है कि कई जगह face recognition को दूसरे authentication factor के रूप में इस्तेमाल किया जा रहा है, जिससे privacy risk बढ़ जाता है
      लंबे समय में सरकार ही एकमात्र IdP बन जाए, ऐसा भी हो सकता है
      non-biometric तरीके scale पर लागू करने में व्यावहारिक रूप से कठिन हैं, लेकिन fingerprint जैसी चीजें कई देशों में पहले से managed हैं, इसलिए वे face recognition से बेहतर लगती हैं

  • यह स्थिति तब तक कभी, कभी खत्म नहीं होगी जब तक executives दिवालिया न हो जाएँ या कम-से-कम लापरवाही के लिए जेल न जाएँ
    और अगर ऐसा हो भी जाए, तब भी बस इसकी आवृत्ति और गंभीरता कम होगी

    • अगर यह जानबूझकर की गई गंभीर लापरवाही या दुर्भावनापूर्ण हरकत नहीं है, तो किसी को जेल भेजना समाधान नहीं लगता
      ज्यादातर security incidents गलतियों से होते हैं
      कंपनियों पर आर्थिक चोट करना deterrent हो सकता है, लेकिन अगर कंपनी ही डूब जाए तो सैकड़ों या हजारों लोग एक झटके में बेरोजगार हो सकते हैं
      सिर्फ firewall setting की गलती या किसी कर्मचारी का social engineering का शिकार होना भी कंपनी को भारी नुकसान पहुँचा सकता है
      शायद इससे बेहतर यह मान लेना है कि cloud, SaaS और internet-connected systems बुनियादी रूप से सुरक्षित नहीं हैं, और इनके इस्तेमाल पर भारी सीमाएँ लगाई जाएँ
      या फिर समाज को इस तरह बदला जाए कि नाम, SSN, जन्मतिथि, पता, माँ का maiden name जैसी जानकारी leak हो भी जाए तो उसका कोई खास मतलब न बचे

    • मेरा मतलब है limited liability को खत्म करना
      shareholders को पीड़ितों के पूरे नुकसान के लिए अपनी पूरी संपत्ति दाँव पर लगाकर जिम्मेदार ठहराना चाहिए
      अगर मुनाफा चाहिए, तो जोखिम भी पूरा खुद ही उठाना चाहिए

    • मुझे याद है GDPR लागू होते समय यह खूब प्रचारित किया गया था कि अब executives आखिरकार hacking incidents के लिए सीधे जिम्मेदार होंगे, और लोगों को बहुत उम्मीदें थीं
      मुझे तब भी यह बकवास लगा था, और सच में वैसा ही निकला
      कानूनी जिम्मेदारी तय करने के लिए gross negligence साबित करनी पड़ती है, और अदालत में बच निकलने के बहुत रास्ते होते हैं
      ऐसा दौर कभी नहीं आएगा जब किसी executive को उसके कार्यकाल में हुई हर चीज के लिए जिम्मेदार ठहरा दिया जाए

  • मेरे हिसाब से ऐसा सिस्टम होना चाहिए जिसमें हर customer record leak होने पर अपने-आप £1,000 का जुर्माना लगे
    अगर कंपनी के करोड़ों customer हों, तो कंपनी का अस्तित्व ही खत्म हो सकता है
    अभी तो हालत यह है कि कोई परवाह ही नहीं करता, और जब कभी breach हो जाता है तो बस एक फीका-सा apology email भेजकर बात खत्म
    UK में ICO (Information Commissioner's Office) उतना ही बेकार और खतरनाक रूप से निष्प्रभावी है जितना Ofwat (water regulator)
    (typo ठीक किया)

    • जुर्माना सीधे customers को दिया जाना चाहिए
      अभी class-action मुकदमे के बाद एक साल बीतने पर कुछ cents मिलते हैं, जिससे customers को कोई वास्तविक मदद नहीं मिलती

    • अगर कंपनी "व्यवहारिक रूप से खत्म" हो जाए, तो उसके customers का क्या होगा? यही सवाल है
      क्या इससे पीड़ितों को ही दोबारा नुकसान नहीं होगा?

    • चिंता यह भी है कि अगर जुर्माना बहुत बड़ा हुआ, तो क्या पूरे देश की अर्थव्यवस्था पर असर नहीं पड़ेगा?

  • Allianz वास्तव में ऐसे cyber attacks के लिए insurance भी देता है
    https://www.allianz.de/aktuell/storys/cyberschutz-knoten-im-system/

    • insurance खुद समस्या का एक हिस्सा है
      क्योंकि कंपनियों के लिए सुरक्षित software development, research और investment करने के बजाय सिर्फ insurance लेना ज्यादा सस्ता पड़ता है
      जब तक यह ढाँचा बना रहेगा, कुछ नहीं बदलेगा

    • कम-से-कम यह तो अच्छा है कि contract के मुताबिक जरूरी endpoint protection ठीक से काम कर रहा था

  • इसका एक कारण यह भी है कि Salesforce developers खुद अपने product को पूरी तरह नहीं समझते, और Salesforce भी security को बहुत गंभीरता से नहीं लेता
    अगर environment सही तरह configure न हो, तो बिना authentication सिर्फ 2 web requests में उपलब्ध सारा data देखा जा सकता है
    monitoring system भी ठीक से नहीं है, इसलिए हमें Salesforce के कमजोर logs के आधार पर बाहर से पूरा security monitoring setup खुद डिजाइन करना पड़ा
    एक उपयोगी guide भी है, इसलिए उसे यहाँ छोड़ रहा हूँ
    https://www.varonis.com/blog/misconfigured-salesforce-experi
    इसे automate करके recon के बाद Salesforce sites तक भी पहुँचा जा सकता है
    मैंने खुद यह करके देखा है

  • लेख में कहा गया है, "16 जुलाई 2025 को, एक malicious hacker ने Allianz Life द्वारा इस्तेमाल किए जा रहे third-party cloud-based CRM system तक पहुँच हासिल कर ली"
    मैं सच में जानना चाहता हूँ कि यह 'third-party, cloud CRM' आखिर है क्या

    • Salesforce पर Google ने हाल में जो लिखा है, वह भी देखने लायक है
      https://cloud.google.com/blog/topics/threat-intelligence/voice-phishing-data-extortion

    • एक दूसरे लेख में Salesforce का नाम लिया गया था, और अक्सर data के मालिक वाली तरफ ही security ढीली रहती है
      गलत तरह से configured Salesforce tenants इंटरनेट पर बिखरे पड़े हैं

    • सिस्टम कौन-सा था, इससे क्या खास फर्क पड़ता है?
      यह technical hacking नहीं था, बल्कि social engineering attack था

    • सवाल यह भी है कि इस्तेमाल किए गए CRM के हिसाब से क्या यह HIPAA violation हो सकता है?

  • data security को ढीले तरीके से manage करने पर भी बड़ी कंपनियों को लगभग कोई वास्तविक सजा नहीं मिलती
    सरकार ने SSN बदलना लगभग असंभव बना रखा है, फिर भी पहचान सत्यापन के लिए अब भी SSN का इस्तेमाल होता है
    इसी वजह से लगभग हर कोई पहले से exposed है

  • लेख में बताए गए call centers जैसी social engineering के अलावा भी, कंपनी की जानकारी इंटरनेट पर बहुत फैली हुई है
    उदाहरण के लिए LinkedIn, social engineering के लिए खजाने जैसा है
    profiles, connection हो या न हो, login किए हुए किसी भी user को दिख जाते हैं, इसलिए हैरानी होती है कि ज्यादा कंपनियाँ कर्मचारियों की profiles की सक्रिय रूप से समीक्षा क्यों नहीं करतीं

  • यह customers के लिए बड़ी असुविधा है और कंपनी के लिए नुकसान, लेकिन किसी बिंदु पर क्या इसे 'tragedy of the commons' जैसी सामाजिक-प्रणालीगत विफलता नहीं माना जाना चाहिए?
    कानूनी रूप से, अगर कोई bank authentication के लिए सिर्फ ऐसी सार्वजनिक जानकारी पर निर्भर करता है जिसका दुरुपयोग आसान है—जैसे SSN या माँ का maiden name—तो किसी असली incident की स्थिति में जिम्मेदारी bank की ही होनी चाहिए, है न?