Τα δεδομένα χρήστη 23andMe παραβιάστηκαν κατά την επίθεση πλήρωσης διαπιστευτηρίων

Η εταιρεία βιοτεχνολογίας, γνωστή για τα κιτ δοκιμών DNA της, επιβεβαίωσε ότι




ότι τα δεδομένα χρήστη του κυκλοφορούν σε φόρουμ χάκερ. Η εταιρεία είπε ότι η

διαρροή

σημειώθηκε μέσω επίθεσης πλήρωσης διαπιστευτηρίων.

Μια επίθεση πλήρωσης διαπιστευτηρίων περιλαμβάνει πληροφορίες χρήστη που έχουν ήδη παραβιαστεί (όνομα χρήστη και κωδικοί πρόσβασης, για παράδειγμα) από έναν οργανισμό, τις οποίες αποκτά ένας χάκερ και επιχειρεί να

επα

ναχρησιμοποιήσει με έναν δεύτερο οργανισμό — σε αυτήν την περίπτωση, τον 23andMe. Λόγω της φύσης της πλήρωσης διαπιστευτηρίων, δεν φαίνεται ότι πρόκειται για παραβίαση των εσωτερικών συστημάτων της εταιρείας. Μάλλον, οι λογαριασμοί έσπασαν αποσπασματικά. Οι δράστες αυτής της επίθεσης φαίνεται να έχουν λάβει αρκετά ευαίσθητες πληροφορίες από τους παραβιασμένους λογαριασμούς (

αποτελέσματα

γενετικών εξετάσεων, φωτογραφίες, πλήρη ονόματα και γεωγραφική τοποθεσία, μεταξύ άλλων).

Η αρχική διαρροή περιελάμβανε «1 εκατομμύριο γραμμές δεδομένων για τους Ασκενάζι».


προς την

BleepingComputer

. Μέχρι τις 4 Οκτωβρίου, τα δεδομένα προσφέρονταν προς πώληση χύμα, σε αυξήσεις 100, 1.000, 10.000 ή 100.000 προφίλ. Η κλίμακα της επίθεσης είναι ακόμη άγνωστη, αλλά το εύρος της επίδρασής της πιθανότατα έχει επιδεινωθεί από το

χαρακτηριστικό

«DNA Relatives» του 23andMe. “Οι συγγενείς αναγνωρίζονται συγκρίνοντας το DNA σας με το DNA άλλων μελών της 23andMe που συμμετέχουν στη λειτουργία DNA Συγγενείς”, η εταιρεία


. Μετά την πρόσβαση σε έναν άγνωστο αριθμό προφίλ μέσω πλήρωσης διαπιστευτηρίων, ο παράγοντας απειλής πίσω από αυτήν την παραβίαση προφανώς ξέσπασε τα αποτελέσματα «DNA Relatives» για αυτά τα προφίλ, συμψηφίζοντας πολύ πιο ευαίσθητα δεδομένα. Σύμφωνα με την ίδια σελίδα Συχνών Ερωτήσεων, «Ο αριθμός των συγγενών που αναφέρονται [..] μεγαλώνει με την πάροδο του χρόνου καθώς περισσότεροι άνθρωποι εντάσσονται στο 23andMe.” Για το οικονομικό έτος 2023, η εταιρεία


«γονοτύπησε» περίπου 14 εκατομμύρια πελάτες.

Από τότε που το 23andMe κυκλοφόρησε το 2021, η εταιρεία έχει για τις πρακτικές προστασίας δεδομένων της — δικαίως, καθώς ασχολείται με ευαίσθητα ιατρικά δεδομένα που προέρχονται από δειγματοληψία σάλιου, συμπεριλαμβανομένων των προδιαθέσεων για ασθένειες όπως το Αλτσχάιμερ, ο διαβήτης τύπου 2, ακόμη και . Στην ιστοσελίδα του το


«υπερβαίνει» τα πρότυπα προστασίας δεδομένων για τον κλάδο της.