23andMe हैक को क्या रोक सकता था?

यहां बताया गया है कि 23andMe हैक कैसे हुआ और विभिन्न लॉगिन-एक्सेस नियंत्रण समाधान इसे कैसे रोक सकते थे।

10 अक्टूबर, 2023 को 23andMe ने घोषणा की कि बुरे अभिनेताओं ने चोरी की है लाखों उपयोगकर्ताओं का व्यक्तिगत, आनुवंशिक और जातीय डेटा . इससे भी अधिक चौंकाने वाली बात यह है कि हैकर्स इस डेटा को - जिसमें 23andMe उपयोगकर्ताओं के नाम, फोटो, स्थान और आनुवंशिक वंशावली की जानकारी शामिल है - डार्क वेब पर बेच रहे थे, जिससे संभावित रूप से पीड़ितों को उनकी जातीयता के आधार पर लक्षित किया जा सकता था।

यह आलेख बताता है कि 23andMe हैक कैसे हुआ और, सबसे महत्वपूर्ण बात यह है कि विभिन्न लॉगिन-एक्सेस नियंत्रण तकनीकों ने 23andMe को इस हैक को होने से रोकने में कैसे मदद की होगी।

हैकर्स ने 23andMe में कैसे सेंध लगाई?

23andMe हैकर्स ने "क्रेडेंशियल स्टफिंग" का उपयोग किया, एक ऐसा कारनामा जो इस तथ्य पर निर्भर करता है कि अधिकांश लोग विभिन्न वेबसाइटों पर एक ही उपयोगकर्ता नाम/पासवर्ड संयोजन का उपयोग करते हैं। मूल रूप से, हैकर्स हैक की गई किसी अन्य वेबसाइट से उपयोगकर्ता नाम/पासवर्ड संयोजनों की एक सूची लेते हैं, और वे उन्हें उस वेबसाइट पर आज़माते हैं जिसे वे लक्षित करना चाहते हैं।

इसका एक अच्छा उदाहरण है RockYou2021 डेटाबेस . यह एक सार्वजनिक रूप से उपलब्ध डार्क वेब फ़ाइल है जिसमें विभिन्न वेबसाइटों से 8.4 बिलियन चुराए गए क्रेडेंशियल हैं। संभावना है, इस सूची में या किसी अन्य में आपके कुछ क्रेडेंशियल्स से समझौता किया गया है, यही कारण है कि प्रत्येक वेबसाइट पर एक अद्वितीय पासवर्ड का उपयोग करना इतना महत्वपूर्ण है।

वाशिंगटन पोस्ट के अनुसार , "भूमिगत मंचों पर बिक्री के लिए डेटा की पेशकश करने वाले ऑनलाइन पोस्ट में कहा गया है कि खरीदार $1,000 के लिए 100 प्रोफ़ाइल या $100,000 के लिए 100,000 तक प्राप्त कर सकते हैं।" इस उल्लंघन से लगभग 14 मिलियन खाते प्रभावित हुए।

23andMe क्रेडेंशियल स्टफिंग के प्रति संवेदनशील क्यों था?

टेकक्रंच के अनुसार:

“23andMe ने इस घटना के लिए अपने ग्राहकों पर पासवर्ड का पुन: उपयोग करने और डीएनए रिलेटिव्स नामक एक ऑप्ट-इन सुविधा को जिम्मेदार ठहराया, जो उपयोगकर्ताओं को अन्य ऑप्ट-इन उपयोगकर्ताओं के डेटा को देखने की अनुमति देता है, जिनका आनुवंशिक डेटा उनके साथ मेल खाता है। यदि किसी उपयोगकर्ता के पास यह सुविधा चालू है, तो सिद्धांत रूप में, यह हैकर्स को एक ही उपयोगकर्ता के खाते में सेंध लगाकर एक से अधिक उपयोगकर्ताओं के डेटा को स्क्रैप करने की अनुमति देगा।

यदि आप पासवर्ड का पुन: उपयोग करने के दोषी हैं (हममें से अधिकांश हैं), तो आप इस प्रकार की हैक के प्रति संवेदनशील हैं। लेकिन खराब पासवर्ड प्रथाओं के लिए ग्राहक को दोष देना वास्तव में उचित नहीं है। मजबूत पासवर्ड वाले 23andMe खाते भी असुरक्षित थे। "डीएनए रिलेटिव्स" प्रोग्राम कैसे उपयोगकर्ता डेटा से जुड़ा है, इसके कारण कमजोर पासवर्ड वाले खाते मजबूत पासवर्ड वाले खातों को उजागर कर देते हैं।

अंततः, जब पहुंच नियंत्रण की बात आती है तो अच्छी पासवर्ड प्रथाओं को अपनाने के लिए उपयोगकर्ताओं पर निर्भर रहना एक हारी हुई रणनीति है। हालिया आँकड़ों के अनुसार:

• 13% लोग सभी खातों में एक ही पासवर्ड का पुन: उपयोग करते हैं ( 2019 Google अध्ययन y)
• 52% एक से अधिक खातों के लिए इसका उपयोग करते हैं ( 2019 गूगल अध्ययन )
• केवल 35% (जिम्मेदार लोग) प्रत्येक खाते के लिए एक अलग पासवर्ड का उपयोग करते हैं ( 2019 गूगल अध्ययन )
• 2022 में पुष्टि किए गए उल्लंघनों में से 81% कमजोर, पुन: उपयोग किए गए या चोरी हुए पासवर्ड के कारण थे ( लास्टपास रिपोर्ट )

इन आँकड़ों को देखते हुए, यह निष्कर्ष निकालना आसान है कि वेबसाइट प्रबंधक नही सकता अच्छी पासवर्ड प्रथाएँ विकसित करने के लिए उपयोगकर्ताओं पर भरोसा करें। यह बेहतर लॉगिन/एक्सेस उपायों को लागू करने के लिए वेबसाइट मालिकों पर स्पष्ट जिम्मेदारी डालता है।

1पासवर्ड जैसे पासवर्ड प्रबंधकों के बारे में क्या?

पासवर्ड प्रबंधक अद्वितीय पासवर्ड को समझने और उन पर नज़र रखने के लिए एक बेहतरीन समाधान प्रदान करते हैं। अधिकांश वेब ब्राउज़र में एक निःशुल्क पासवर्ड मैनेजर शामिल होता है, और 1password जैसी सशुल्क सेवाएँ भी उपलब्ध होती हैं। लेकिन आप हर ग्राहक को पासवर्ड मैनेजर का उपयोग करने के लिए बाध्य नहीं कर सकते। सोशल मीडिया प्लेटफॉर्म और 23andMe जैसी साइटों पर - जहां ग्राहक जुड़ते हैं और स्वचालित रूप से व्यक्तिगत जानकारी साझा करते हैं - जो उपयोगकर्ता अच्छी पासवर्ड प्रथाओं को अपनाने में विफल रहते हैं, वे ऐसा करने वालों को खतरे में डाल देंगे।

इसके अलावा, पासवर्ड मैनेजर फुलप्रूफ़ नहीं हैं। यदि कोई हैकर मास्टर पासवर्ड हासिल कर लेता है, तो उसे सब कुछ मिल जाता है। फ़िशिंग हमले—जहां आप किसी दुर्भावनापूर्ण लिंक पर क्लिक करते हैं और अपनी साख उजागर करते हैं—भी एक समस्या है। यॉर्क विश्वविद्यालय में कंप्यूटर विज्ञान विभाग के डॉ. सियामक शाहंदाश्ती ने निम्नलिखित कथन में इन कमजोरियों पर प्रकाश डाला :

“पासवर्ड प्रबंधकों में कमजोरियाँ हैकर्स को क्रेडेंशियल निकालने, व्यावसायिक जानकारी से समझौता करने या कर्मचारी जानकारी का उल्लंघन करने का अवसर प्रदान करती हैं। क्योंकि वे बहुत सारी संवेदनशील जानकारी के द्वारपाल हैं, इसलिए पासवर्ड प्रबंधकों का कठोर सुरक्षा विश्लेषण महत्वपूर्ण है।

"हमारे अध्ययन से पता चलता है कि किसी दुर्भावनापूर्ण ऐप से फ़िशिंग हमला अत्यधिक संभव है - यदि किसी पीड़ित को दुर्भावनापूर्ण ऐप इंस्टॉल करने के लिए धोखा दिया जाता है तो यह ऑटोफ़िल प्रॉम्प्ट पर खुद को एक वैध विकल्प के रूप में प्रस्तुत करने में सक्षम होगा और सफलता की उच्च संभावना होगी।"

अंततः, पासवर्ड प्रबंधक कुछ भी नहीं से बेहतर हैं - और वे आपको सुरक्षित रहने में मदद कर सकते हैं, लेकिन उपयोगकर्ता खातों के आपस में जुड़ने और व्यक्तिगत जानकारी साझा करने के तरीके के कारण पासवर्ड प्रबंधक वाले उपयोगकर्ता भी 23andMe हमले में असुरक्षित थे। वेबसाइटों द्वारा खाते की पहुंच को सुरक्षित रखने के लिए कुछ और करना होगा।

मल्टी-फैक्टर ऑथेंटिकेशन (एमएफए) के बारे में क्या?

लॉगिन सुरक्षा बढ़ाने के लिए, बहुत सी वेबसाइटें मल्टी-फैक्टर ऑथेंटिकेशन (एमएफए) का उपयोग करती हैं। एमएफए के कई प्रकार हैं, और सबसे लोकप्रिय समाधानों में टेक्स्ट संदेश या ईमेल द्वारा अस्थायी 2-कारक (2एफए) पासकोड भेजना शामिल है, जिससे उपयोगकर्ताओं को एक अतिरिक्त लेकिन कठिन प्रमाणीकरण चरण पूरा करने के लिए मजबूर होना पड़ता है।

23andMe ने अपने उपयोगकर्ताओं को MFA की पेशकश नहीं की। लेकिन अगर उनके पास था भी, तो टेक्स्ट-मैसेज और ईमेल-आधारित एमएफए समाधान उतने सुरक्षित नहीं हैं जितने पहले हुआ करते थे। अधिकांश मामलों में, ईमेल केवल पासवर्ड द्वारा सुरक्षित होता है। इसके अलावा, हैकर्स के लिए सिम स्वैपिंग के माध्यम से स्मार्टफोन पर नियंत्रण हासिल करना अपेक्षाकृत आम है। वास्तव में, एसईसी के ट्विटर खाते की हालिया हैक में यही हुआ है:

शोधकर्ता इस बात से भी सहमत हैं कि टेक्स्ट संदेश-आधारित एमएफए हैक के प्रति अधिक संवेदनशील है। साइबर सुरक्षा फर्म प्रूफपॉइंट के अनुसार:

सुरक्षा फर्म प्रूफ़पॉइंट के शोधकर्ताओं ने एक रिपोर्ट में कहा, "किसी की आशा के विपरीत, एमएफए (बहु-कारक प्रमाणीकरण) सुरक्षा वाले किरायेदारों के बीच खाता अधिग्रहण में वृद्धि हुई है।" "हमारे डेटा के आधार पर, पिछले वर्ष के दौरान सभी समझौता किए गए उपयोगकर्ताओं में से कम से कम 35% ने एमएफए सक्षम किया था।"

इन कमजोरियों के कारण, कंपनियाँ माइक्रोसॉफ्ट की तरह अब ध्वनि या पाठ संदेश प्रमाणीकरण का उपयोग करने वाली 2-कारक रणनीतियों का उपयोग करने के विरुद्ध चेतावनी दी जा रही है। माइक्रोसॉफ्ट के पहचान सुरक्षा निदेशक एलेक्स वेनर्ट के अनुसार :

“ये तंत्र [पाठ संदेश-आधारित 2एफए रणनीतियाँ] सार्वजनिक रूप से स्विच किए गए टेलीफोन नेटवर्क (पीएसटीएन) पर आधारित हैं, और मेरा मानना है कि वे आज उपलब्ध एमएफए तरीकों में से सबसे कम सुरक्षित हैं। यह अंतर केवल चौड़ा होगा क्योंकि एमएफए अपनाने से इन तरीकों को तोड़ने में हमलावरों की रुचि बढ़ जाती है […] हालांकि, यह दोहराना जरूरी है कि एमएफए आवश्यक है - हम इस बात पर चर्चा कर रहे हैं कि किस एमएफए विधि का उपयोग करना है, न कि एमएफए का उपयोग करना है या नहीं । ”

YubiKey जैसी भौतिक सुरक्षा कुंजियों के बारे में क्या?

भौतिक सुरक्षा कुंजियाँ—जैसे कि Yubico की Yubikey— छोटे उपकरण हैं जिन्हें आप अपने फ़ोन या कंप्यूटर से कनेक्ट करते हैं। ये मल्टीफैक्टर प्रमाणीकरण प्रक्रिया में एक अतिरिक्त भौतिक "कारक" जोड़ते हैं। Google जैसी कई कंपनियों को कर्मचारियों को अपने कार्य खातों में लॉग इन करते समय Yubikeys का उपयोग करने की आवश्यकता होती है। यदि कोई उपयोगकर्ता कुंजी कनेक्ट नहीं करता है, तो वे पहुंच प्राप्त नहीं कर सकते हैं।

भौतिक सुरक्षा कुंजियाँ सुरक्षा की एक शक्तिशाली परत जोड़ती हैं। हालाँकि, संगठन जितना बड़ा होता जाता है, ये रणनीतियाँ उतनी ही महंगी होती जाती हैं। एक कुंजी की कीमत $50 से $105 तक है, एक बड़े संगठन के प्रत्येक कर्मचारी को Yubikeys प्रदान करना महंगा है। इसके अलावा, चाबियाँ भेजने और बदलने में होने वाली देरी और प्रबंधन संबंधी परेशानियाँ भी एक महत्वपूर्ण बोझ पैदा करती हैं।

फिर आपके पास सार्वजनिक वेबसाइटें हैं—जैसे 23andMe—जिन पर लाखों उपयोगकर्ता हैं। किसी सार्वजनिक वेबसाइट या सोशल मीडिया प्लेटफ़ॉर्म के प्रत्येक उपयोगकर्ता को $50 का हार्डवेयर उपकरण खरीदने की आवश्यकता का सवाल ही नहीं उठता।

सिस्को डुओ जैसे व्यापक सुरक्षा समाधानों के बारे में क्या?

सिस्को डुओ और अन्य व्यापक सुरक्षा सेवाएँ पासवर्ड से कहीं अधिक लॉगिन सुरक्षा बढ़ाने के लिए उच्च गुणवत्ता वाले दो-कारक प्रमाणीकरण (2FA) और अन्य प्रमाणीकरण उपकरण प्रदान करती हैं। उपयोगकर्ता फ़ोन कॉल, पुश नोटिफिकेशन और भौतिक सुरक्षा कुंजी जैसे अतिरिक्त चरणों के माध्यम से पहुंच की पुष्टि करते हैं।

डुओ जैसी व्यापक सुरक्षा सेवाएँ नियंत्रित उपयोगकर्ता आधार वाले व्यवसायों के लिए आदर्श हैं। हालाँकि, 23andMe या Facebook जैसी वेबसाइट पर लाखों उपयोगकर्ताओं के लिए काम करने के लिए उन्हें स्केल करना लागत के नजरिए से व्यावहारिक नहीं होगा।

उसकी वजह यहाँ है:

• स्केलिंग लागत: डुओ जैसी व्यापक सुरक्षा सेवाएँ प्रति उपयोगकर्ता शुल्क लेती हैं। लाखों खातों के लिए शुल्क लेना व्यावसायिक दृष्टिकोण से व्यावहारिक नहीं होगा।
• उपयोगकर्ता घर्षण: डुओ का बहु-चरण प्रमाणीकरण कुछ उपयोगकर्ताओं को रोक सकता है, विशेष रूप से वे जो 2FA से अपरिचित हैं।
• परिचालन जटिलता: लाखों डुओ खातों को प्रबंधित करने के लिए समर्पित बुनियादी ढांचे और संसाधनों की आवश्यकता होती है।

Google प्रमाणक जैसे प्रमाणक ऐप समाधान के बारे में क्या?

Google प्रमाणक जैसे 2FA समाधान को अनिवार्य करना 23andMe उपयोगकर्ताओं की सुरक्षा का एक किफायती तरीका हो सकता था। हालाँकि, यह ध्यान रखना महत्वपूर्ण है कि Google प्रमाणक कुछ महत्वपूर्ण कमजोरियों के साथ आता है:

• फ़िशिंग हमले: हमलावर विश्वसनीय नकली लॉगिन पेज बना सकते हैं जो उपयोगकर्ता नाम, पासवर्ड और वन-टाइम कोड चुरा लेते हैं, जिससे हैकर्स को किसी खाते तक दूरस्थ रूप से पहुंचने की अनुमति मिलती है।
• सोशल इंजीनियरिंग: भ्रामक रणनीति उपयोगकर्ताओं को अपने वन-टाइम कोड साझा करने या इसे उजागर करने वाले मैलवेयर डाउनलोड करने के लिए प्रेरित कर सकती है।
• क्लाउड बैकअप भेद्यता: कई उपयोगकर्ताओं के पास क्लाउड-आधारित बैकअप होते हैं जो उनकी प्रमाणक कुंजियाँ सहेजते हैं। क्लाउड स्टोरेज खाते से समझौता करके, हैकर्स इस प्रमाणिक डेटा तक पहुंच सकते हैं।
• उपयोगकर्ता घर्षण: Google प्रमाणक को उपयोगकर्ताओं को एक अतिरिक्त ऐप डाउनलोड करने और एक सुरक्षा कुंजी दर्ज करने की आवश्यकता होती है। फिर, हर बार जब वे ऐप में लॉग इन करते हैं, तो उन्हें ऐप से वेबसाइट पर एक अस्थायी पासकोड स्थानांतरित करने की आवश्यकता होती है, जिससे लॉगिन प्रक्रिया में काफी परेशानी और परेशानी होती है।
• प्रमाणक कुंजी अवरोधन: उपयोगकर्ता को प्रमाणीकरण कुंजी कोड की डिलीवरी भेद्यता का एक बिंदु है। यदि हैकर्स इस कोड को इंटरसेप्ट करते हैं या इसे किसी तरह प्राप्त करते हैं, तो संपूर्ण Google प्रमाणीकरण प्रक्रिया से समझौता हो जाता है और रिमोट हैकर्स कहीं से भी खाते तक पहुंच सकते हैं।

इन कमजोरियों के बावजूद, Google प्रमाणक और अन्य प्रमाणक ऐप्स अकेले पासवर्ड की तुलना में वेबसाइट लॉगिन सुरक्षा में काफी सुधार करते हैं। इस तरह का एक प्रमाणक सिस्टम अपने ट्रैक में 23andMe क्रेडेंशियल-स्टफिंग हैक को रोक सकता था।

एक्सेस कंट्रोल को लॉगिन डिवाइस से उसी तरह जोड़ने के बारे में क्या, जिस तरह इनविस्टा करता है?

एक और समाधान है जो 23andMe हैक को रोकने के लिए काम कर सकता है। यह एक सॉफ्टवेयर आधारित तकनीक है इनविस्टा टेक्नोलॉजी ग्रुप , जो 23andMe उपयोगकर्ताओं के लॉगिन डिवाइस को तुरंत भौतिक सुरक्षा कुंजी में बदल सकता था, जो भौतिक सुरक्षा कुंजी के समान सुरक्षा प्रदान करता था (वास्तविक कुंजी की आवश्यकता के बिना)।

इनविस्टा प्रत्येक उपयोगकर्ता लॉगिन डिवाइस में पाए जाने वाले अद्वितीय हार्डवेयर और सॉफ़्टवेयर पहचानकर्ताओं का पता लगाकर और उन पहचानकर्ताओं का उपयोग करके एक असंभव-से-प्रतिकृति "बेनामी एक्सेस कुंजी" को स्पिन करने के द्वारा काम करता है। 23andMe उपयोगकर्ताओं के स्मार्टफोन या लैपटॉप को भौतिक सुरक्षा कुंजियों में परिवर्तित करके, Invysta हार्डवेयर के अतिरिक्त टुकड़े को खरीदने या वितरित करने की आवश्यकता के बिना लाखों उपयोगकर्ताओं वाली वेबसाइटों को उच्चतम स्तर की सुरक्षा तक पहुंच प्रदान करता है - जिससे दूरस्थ हैकर्स के लिए क्रेडेंशियल संचालित करना असंभव हो जाता है। भराई हमला.

बेशक, इनविस्टा अभी भी एक अपेक्षाकृत अज्ञात तकनीक है, और अधिकांश वेबसाइट मालिकों को इसके अस्तित्व के बारे में पता नहीं है। हालाँकि, समय के साथ, यह समाधान एक्सेस कंट्रोल क्षेत्र में एक शक्तिशाली लेकिन लागत प्रभावी रणनीति के रूप में प्रतिष्ठा बना सकता है।

अंतिम विचार

इस लेख में विभिन्न लॉगिन-एक्सेस नियंत्रण समाधानों पर गौर किया गया है जो 23andMe को अपने ग्राहकों पर हमले को रोकने में मदद कर सकते थे। लेकिन सिर्फ इसलिए कि इनमें से कुछ समाधान आज काम करते हैं, इसका मतलब यह नहीं है कि वे भविष्य में भी काम करना जारी रखेंगे।

चूँकि हम अपने और अपने परिवार के बारे में अधिक जानकारी ऑनलाइन साझा करते हैं - जिसमें 23andMe जैसी सेवाओं पर हमारा डीएनए और जातीयता डेटा भी शामिल है - डिजिटल सुरक्षा का लगातार विकसित होने वाला डोमेन पहले से कहीं अधिक महत्वपूर्ण है। वास्तव में, यह अब केवल हमारे वित्तीय जीवन को सुरक्षित करने के बारे में नहीं है। यह हमारे परिवारों को घृणा अपराधों, अंतरंग गोपनीयता उल्लंघनों और अन्य भयानक कमजोरियों से सुरक्षित रखने के बारे में है।

जैसे-जैसे आने वाले वर्षों में ये खतरे बढ़ते और बदलते रहेंगे, बाजार में और अधिक साइबर सुरक्षा समाधान आने की उम्मीद है। इन नई तकनीकों को जल्दी लागू करके, संगठन वित्तीय, प्रतिष्ठित और भौतिक सुरक्षा क्षति से बचने में सक्षम हो सकते हैं जो 23andMe ने हाल ही में सहन किया है।