Η 23andMe λέει ότι οι χάκερ είχαν πρόσβαση σε «σημαντικό αριθμό» αρχείων σχετικά με την καταγωγή των χρηστών

Η εταιρεία γενετικών δοκιμών 23andMe ανακοίνωσε την Παρασκευή ότι χάκερ είχαν πρόσβαση σε περίπου 14.000 λογαριασμούς πελατών στην πρόσφατη παραβίαση δεδομένων της εταιρείας.

Σε νέα κατάθεση στην Επιτροπή Κεφαλαιαγοράς των ΗΠΑ

Δημοσιεύθηκε την Παρασκευή, η εταιρεία είπε ότι, με βάση την έρευνά της για το περιστατικό, είχε διαπιστώσει ότι χάκερ είχαν πρόσβαση στο 0,1% της πελατειακής της βάσης.

Σύμφωνα με την πιο πρόσφατη ετήσια έκθεση κερδών της εταιρείας

η 23andMe έχει «περισσότερους από 14 εκατομμύρια πελάτες παγκοσμίως», που σημαίνει ότι το 0,1% είναι περίπου 14.000.

Ωστόσο, η εταιρεία είπε επίσης ότι με την πρόσβαση σε αυτούς τους λογαριασμούς, οι χάκερ μπόρεσαν επίσης να έχουν πρόσβαση σε «σημαντικό αριθμό αρχείων που περιείχαν πληροφορίες προφίλ σχετικά με την καταγωγή άλλων χρηστών που αυτοί οι χρήστες επέλεξαν να μοιραστούν όταν επιλέγουν τη λειτουργία DNA Relatives του 23andMe».

Η εταιρεία δεν διευκρίνισε ποιος είναι αυτός ο «σημαντικός αριθμός» αρχείων, ούτε πόσοι από αυτούς τους «άλλους χρήστες» επηρεάστηκαν.

Το 23andMe δεν απάντησε αμέσως σε αίτημα για σχολιασμό, το οποίο περιελάμβανε ερωτήσεις σχετικά με αυτούς τους αριθμούς.

Στις αρχές Οκτωβρίου, το 23andMe αποκάλυψε ένα περιστατικό στο οποίο χάκερ είχαν κλέψει τα δεδομένα ορισμένων χρηστών χρησιμοποιώντας μια κοινή τεχνική γνωστή ως “credential stuffing”, όπου οι εγκληματίες του κυβερνοχώρου παραβιάζουν τον λογαριασμό ενός θύματος χρησιμοποιώντας έναν γνωστό κωδικό πρόσβασης, ο οποίος ίσως διέρρευσε λόγω παραβίασης δεδομένων σε άλλο υπηρεσία.

Η ζημιά, ωστόσο, δεν σταμάτησε στους πελάτες που είχαν πρόσβαση στους λογαριασμούς τους. Το 23andMe επιτρέπει στους χρήστες να επιλέξουν ένα χαρακτηριστικό που ονομάζεται

Συγγενείς DNA

. Εάν ένας χρήστης επιλέξει αυτήν τη δυνατότητα, το 23andMe μοιράζεται ορισμένες από τις πληροφορίες αυτού του χρήστη με άλλους. Αυτό σημαίνει ότι με την πρόσβαση στον λογαριασμό ενός θύματος, οι χάκερ μπορούσαν επίσης να δουν τα

προσωπικά δεδομένα

των ατόμων που συνδέονται με αυτό το αρχικό θύμα.

Η 23andMe είπε στην κατάθεση ότι για τους αρχικούς 14.000 χρήστες, τα κλεμμένα δεδομένα «περιλάμβαναν γενικά πληροφορίες καταγωγής και, για ένα υποσύνολο αυτών των λογαριασμών, πληροφορίες που σχετίζονται με την υγεία με βάση τη γενετική του χρήστη». Για το άλλο υποσύνολο χρηστών, η 23andMe είπε μόνο ότι οι χάκερ έκλεψαν “πληροφορίες προφίλ” και στη συνέχεια δημοσίευσαν απροσδιόριστες “ορισμένες πληροφορίες” στο διαδίκτυο.

Το TechCrunch ανέλυσε τα δημοσιευμένα σύνολα κλεμμένων δεδομένων συγκρίνοντάς τα με γνωστά δημόσια γενεαλογικά αρχεία, συμπεριλαμβανομένων ιστοτόπων που δημοσιεύτηκαν από χομπίστες και γενεαλόγους. Αν και τα σύνολα δεδομένων είχαν διαφορετική μορφοποίηση, περιείχαν μερικές από τις ίδιες μοναδικές πληροφορίες χρήστη και γενετικές πληροφορίες που ταίριαζαν με γενεαλογικά αρχεία που δημοσιεύτηκαν στο διαδίκτυο χρόνια νωρίτερα.

Ο ιδιοκτήτης ενός ιστότοπου γενεαλογίας, για τον οποίο αποκαλύφθηκαν ορισμένες από τις πληροφορίες των συγγενών τους στην παραβίαση δεδομένων του 23andMe, είπε στο TechCrunch ότι έχουν ανακαλυφθεί περίπου 5.000 συγγενείς μέσω του 23andMe και είπε ότι «οι συσχετισμοί μας μπορεί να το λάβουν υπόψη».

Ειδήσεις για παραβίαση δεδομένων

εμφανίστηκε στο διαδίκτυο

τον Οκτώβριο, όταν χάκερ διαφήμισαν τα υποτιθέμενα δεδομένα ενός εκατομμυρίου χρηστών εβραϊκής καταγωγής Ασκενάζι και 100.000 Κινέζων χρηστών σε ένα γνωστό φόρουμ

hacking

. Περίπου δύο εβδομάδες αργότερα, ο ίδιος χάκερ που διαφήμισε τα αρχικά κλεμμένα δεδομένα χρήστη διαφήμισε τα υποτιθέμενα αρχεία τεσσάρων εκατομμυρίων ακόμη ανθρώπων. Ο χάκερ προσπαθούσε να πουλήσει τα δεδομένα μεμονωμένων θυμάτων για $1 έως $10.

Το TechCrunch διαπίστωσε ότι ένας άλλος χάκερ σε ένα διαφορετικό φόρουμ hacking είχε διαφημίσει ακόμη περισσότερα υποτιθέμενα κλεμμένα δεδομένα χρήστη δύο μήνες πριν από τη διαφήμιση που αναφέρθηκε αρχικά από ειδησεογραφικά μέσα τον Οκτώβριο. Σε εκείνη την πρώτη διαφήμιση, ο χάκερ ισχυρίστηκε ότι είχε 300 terabytes κλεμμένων δεδομένων χρήστη 23andMe και ζήτησε 50 εκατομμύρια δολάρια για να πουλήσει ολόκληρη τη βάση δεδομένων ή μεταξύ 1.000 και 10.000 δολάρια για ένα υποσύνολο των δεδομένων.

Ως απάντηση στην παραβίαση δεδομένων, στις 10 Οκτωβρίου, το 23andMe ανάγκασε τους χρήστες να

επα

ναφέρουν και να αλλάξουν τους κωδικούς πρόσβασής τους και τους ενθάρρυνε να ενεργοποιήσουν τον έλεγχο ταυτότητας πολλαπλών παραγόντων.

Και

στις 6 Νοεμβρίου, η εταιρεία ζήτησε από όλους τους χρήστες να χρησιμοποιήσουν επαλήθευση σε δύο βήματα, σύμφωνα με τη νέα κατάθεση.

Μετά την παραβίαση του 23andMe, άλλες εταιρείες τεστ DNA Ancestry και MyHeritage άρχισαν να επιβάλλουν έλεγχο ταυτότητας δύο παραγόντων.