Το 23andMe παραδέχεται ότι οι χάκερ είχαν πρόσβαση στα δεδομένα DNA συγγενών 6,9 εκατομμυρίων χρηστών
Το 23andMe επιβεβαίωσε ότι μια πρόσφατη παραβίαση διέρρευσε δεδομένα που ανήκαν σε 6,9 εκατομμύρια χρήστες. Σε δήλωση που αποστέλλεται μέσω
email
προς
Το χείλος
ο εκπρόσωπος της εταιρείας Andy Kill λέει ότι η παραβίαση επηρέασε περίπου 5,5 εκατομμύρια χρήστες που είχαν ενεργοποιημένο το DNA Relatives, μια δυνατότητα που ταιριάζει με χρήστες με παρόμοια γενετική σύνθεση, ενώ άλλα 1,4 εκατομμύρια άτομα είχαν πρόσβαση στα προφίλ του οικογενειακού τους δέντρου.
Σε
κατάθεση στην Επιτροπή Κεφαλαιαγοράς
(SEC) και
ενημέρωση στην ανάρτησή του στο blog
αργά την 1η Δεκεμβρίου, το 23andMe είπε ότι ένας παράγοντας απειλών που χρησιμοποιεί επίθεση διαπιστευτηρίων – συνδέθηκε με πληροφορίες λογαριασμού που αποκτήθηκαν σε άλλες παραβιάσεις ασφαλείας, συνήθως λόγω επαναχρησιμοποίησης κωδικού πρόσβασης – είχε απευθείας πρόσβαση στο 0,1 τοις εκατό των λογαριασμών χρηστών, που αποτελούν περίπου 14.000 χρήστες. Με πρόσβαση σε αυτούς τους λογαριασμούς, οι εισβολείς χρησιμοποίησαν τη δυνατότητα DNA Συγγενείς, η οποία αντιστοιχίζει άτομα με άλλα μέλη με τα οποία μπορεί να έχουν κοινή κατ
αγωγή
, για να έχουν πρόσβαση στις πρόσθετες πληροφορίες από εκατομμύρια άλλα προφίλ.
«Δεν έχουμε ακόμη καμία ένδειξη ότι υπήρξε περιστατικό ασφάλειας δεδομένων στα συστήματά μας»
Η δήλωση της Παρασκευής σημείωσε τον χάκερ
επίσης
απέκτησε πρόσβαση σε “σημαντικό αριθμό αρχείων” μέσω της δυνατότητας Συγγενείς, αλλά δεν συμπεριέλαβε τον αριθμό που αναφέρεται παραπάνω.
Το Kill λέει
Το χείλος
, “Δεν έχουμε ακόμη καμία ένδειξη ότι υπήρξε ένα περιστατικό ασφάλειας δεδομένων στα συστήματά μας ή ότι το 23andMe ήταν η πηγή των διαπιστευτηρίων λογαριασμού που χρησιμοποιήθηκαν σε αυτές τις επιθέσεις.” Αυτή η δήλωση έρχεται σε αντίθεση με το γεγονός ότι πληροφορίες από 6,9 εκατομμύρια χρήστες βρίσκονται πλέον στα χέρια των επιτιθέμενων. Η συντριπτική πλειοψηφία αυτών των ατόμων επηρεάζεται επειδή επέλεξαν μια λειτουργία που παρέχεται από την 23andMe, η οποία απέτυχε να αποτρέψει την παραβίαση είτε περιορίζοντας την πρόσβαση στις πληροφορίες είτε απαιτώντας πρόσθετη ασφάλεια λογαριασμού.
Τα πρώτα δημόσια σημάδια προβλήματος εμφανίστηκαν τον Οκτώβριο όταν η 23andMe επιβεβαίωσε ότι οι πληροφορίες χρήστη ήταν προς πώληση στον σκοτεινό ιστό. Ο ιστότοπος γενετικών δοκιμών είπε αργότερα ότι ερευνούσε τους ισχυρισμούς ενός χάκερ ότι διέρρευσαν 4 εκατομμύρια γενετικά προφίλ από ανθρώπους στη Μεγάλη Βρετανία και «τους πλουσιότερους ανθρώπους που ζουν στις
ΗΠΑ
και τη Δυτική
Ευρώπη
».
Τα 5,5 εκατομμύρια προφίλ των συγγενών DNA που διέρρευσαν περιελάμβαναν χρήστες που δεν συμμετείχαν στην αρχική επίθεση γεμίσματος διαπιστευτηρίων. Τα δεδομένα που αποκαλύφθηκαν περιλαμβάνουν πράγματα όπως εμφανιζόμενα ονόματα, προβλεπόμενες σχέσεις με άλλους, τον αριθμό των χρηστών DNA που μοιράζονται με αντιστοιχίσεις, αναφορές καταγωγής, τοποθεσίες που αναφέρουν οι ίδιοι, τοποθεσίες γέννησης προγόνων, ονόματα οικογένειας,
φωτογραφίες
προφίλ και άλλα.
Στους υπόλοιπους 1,4 εκατομμύρια χρήστες που συμμετείχαν επίσης στη λειτουργία DNA Συγγενείς είχαν πρόσβαση στα προφίλ του οικογενειακού τους δέντρου. Αυτή η δυνατότητα περιλαμβάνει παρομοίως εμφανιζόμενα ονόματα, ετικέτες σχέσεων, έτος γέννησης και τοποθεσίες που αναφέρονται μόνοι σας. Δεν περιλαμβάνει το ποσοστό του DNA που μοιράζεται με πιθανούς συγγενείς στην τοποθεσία ή τα αντίστοιχα τμήματα DNA.
Το 23andMe λέει
βρίσκεται ακόμη στη διαδικασία ειδοποίησης των χρηστών που επηρεάζονται από την παραβίαση. Έχει επίσης αρχίσει να προειδοποιεί τους χρήστες να επαναφέρουν τους κωδικούς πρόσβασής τους και τώρα απαιτεί επαλήθευση σε δύο βήματα για νέους και υπάρχοντες χρήστες, η οποία στο παρελθόν ήταν προαιρετική.
VIA:
theverge.com