Η 23andMe επιβεβαίωσε στο BleepingComputer ό
τι
γνωρίζει τα δεδομένα χρηστών από την πλατφόρμα της που κυκλοφορούν σε φόρουμ χάκερ και αποδίδει τη
διαρροή
σε επίθεση γεμίσματος διαπιστευτηρίων.
Η 23andMe είναι μια αμερικανική εταιρεία βιοτεχνολογίας και γονιδιωματικής που προσφέρει υπηρεσίες γενετικών δοκιμών σε πελάτες που στέλνουν δείγμα σάλιου στα εργαστήριά της και λαμβάνουν πίσω μια αναφορά καταγωγής και γενετικής προδιάθεσης.
Πρόσφατα, ένας ηθοποιός απειλών διέρρευσε δείγματα δεδομένων που φέρεται να είχαν κλαπεί από μια εταιρεία γενετικής και, λίγες μέρες αργότερα, προσφέρθηκε να πουλήσει πακέτα δεδομένων που ανήκαν σε πελάτες της 23andMe.
Αρχική διαρροή γενετικών δεδομένων
Πηγή: BleepingComputer
Η αρχική διαρροή δεδομένων ήταν περιορισμένη, με τον παράγοντα απειλών να δημοσίευσε 1 εκατομμύριο γραμμές δεδομένων για τους Ασκενάζι. Ωστόσο, στις 4 Οκτωβρίου, ο ηθοποιός της απειλής προσφέρθηκε να πουλήσει χύμα προφίλ δεδομένων για 1-10 $ ανά λογαριασμό 23andMe, ανάλογα με τον αριθμό που αγοράστηκαν.
Μαζική πώληση κλεμμένων προφίλ γενετικών δεδομένων
Πηγή: BleepingComputer
Ένας εκπρόσωπος της 23andMe επιβεβαίωσε ότι τα δεδομένα είναι νόμιμα και είπε στην BleepingComputer ότι οι φορείς απειλών χρησιμοποίησαν εκτεθειμένα διαπιστευτήρια από άλλες παραβιάσεις για να αποκτήσουν πρόσβαση στους λογαριασμούς 23andMe και να κλέψουν τα ευαίσθητα δεδομένα.
“Ενημερωθήκαμε ότι ορισμένες πληροφορίες προφίλ πελατών της 23andMe συγκεντρώθηκαν μέσω πρόσβασης σε μεμονωμένους λογαριασμούς 23andMe.com”, δήλωσε ο εκπρόσωπος της 23andMe
«Δεν έχουμε καμία ένδειξη αυτή τη στιγμή ότι υπήρξε περιστατικό ασφάλειας δεδομένων στα συστήματά μας».
“Μάλλον, τα προκαταρκτικά
αποτελέσματα
αυτής της έρευνας υποδηλώνουν ότι τα διαπιστευτήρια σύνδεσης που χρησιμοποιούνται σε αυτές τις προσπάθειες πρόσβασης μπορεί να έχουν συγκεντρωθεί από έναν παράγοντα απειλής από δεδομένα που διέρρευσαν κατά τη διάρκεια περιστατικών που αφορούν άλλες διαδικτυακές
πλατφόρμες
όπου οι χρήστες έχουν ανακυκλώσει τα διαπιστευτήρια σύνδεσης.”
Οι πληροφορίες που έχουν αποκαλυφθεί από αυτό το περιστατικό περιλαμβάνουν πλήρη ονόματα, ονόματα χρήστη, φωτογραφίες προφίλ,
φύλο
, ημερομηνία γέννησης, αποτελέσματα γενετικής καταγωγής και γεωγραφική τοποθεσία.
Η BleepingComputer έμαθε επίσης ότι ο αριθμός των λογαριασμών που πουλήθηκαν από τον κυβερνοεγκληματία δεν αντικατοπτρίζει τον αριθμό των λογαριασμών 23andMe που παραβιάστηκαν χρησιμοποιώντας εκτεθειμένα διαπιστευτήρια.
Οι παραβιασμένοι λογαριασμοί είχαν επιλέξει τη λειτουργία «DNA Relatives» της πλατφόρμας, η οποία επιτρέπει στους χρήστες να βρίσκουν γενετικούς συγγενείς και να συνδέονται μαζί τους.
Ο ηθοποιός της απειλής είχε πρόσβαση σε έναν μικρό αριθμό λογαριασμών 23andMe και στη συνέχεια ξέσπασε τα δεδομένα των σχετικών αντιστοιχιών DNA τους, κάτι που δείχνει πώς η επιλογή μιας δυνατότητας μπορεί να έχει απροσδόκητες συνέπειες για το απόρρητο.
Η 23andMe είπε στο BleepingComputer ότι η πλατφόρμα προσφέρει έλεγχο ταυτότητας δύο παραγόντων ως πρόσθετο μέτρο προστασίας λογαριασμού και
Ενθαρρύνει
όλοι οι χρήστες να το ενεργοποιήσουν.
Οι χρήστες θα πρέπει να απέχουν από την επαναχρησιμοποίηση κωδικών πρόσβασης και να χρησιμοποιούν σταθερά ισχυρά, διακριτά διαπιστευτήρια για κάθε διαδικτυακό λογαριασμό που διαθέτουν.