Ο πάροχος γενετικών δοκιμών 23andMe επιβεβαίωσε ότι οι χάκερ έκλεψαν αναφορές υγείας και ακατέργαστα δεδομένα γονότυπου πελατών που επηρεάστηκαν από
μι
α επίθεση γεμίσματος διαπιστευτηρίων που πέρασε απαρατήρητη για πέντε μήνες, από τις 29 Απριλίου έως τις 27 Σεπτεμβρίου.
Τα διαπιστευτήρια που χρησιμοποιήθηκαν από τους εισβολείς για την παραβίαση των λογαριασμών των πελατών κλάπηκαν σε άλλες παραβιάσεις δεδομένων ή χρησιμοποιήθηκαν σε προηγουμένως παραβιασμένες διαδικτυακές πλατφόρμες.
Όπως αποκάλυψε η εταιρεία γονιδιωματικής και βιοτεχνολογίας
επιστολές ειδοποίησης παραβίασης δεδομένων
που στάλθηκαν σε όσους επηρεάστηκαν στο περιστατικό, ορισμένα από τα κλεμμένα δεδομένα δημοσιεύτηκαν στο φόρουμ
hacking
του BreachForums και στον ανεπίσημο ιστότοπο 23andMe subreddit.
Οι πληροφορίες που διέρρευσαν περιλαμβάνουν στοιχεία για 1 εκατομμύριο Εβραίους Ασκενάζι και 4,1 εκατομμύρια ανθρώπους που ζουν στο Ηνωμένο Βασίλειο.
Διαρροή δεδομένων πελατών 23andMe (BleepingComputer)
“Η έρευνά μας διαπίστωσε ότι ο παράγοντας της απειλής κατέβασε ή είχε πρόσβαση σε αδιάκοπα ακατέργαστα δεδομένα γονότυπου σας και μπορεί να είχε πρόσβαση σε άλλες ευαίσθητες πληροφορίες στον λογαριασμό σας, όπως ορισμένες
εκθέσεις υγείας
προέρχεται από την επεξεργασία των γενετικών σας πληροφοριών, συμπεριλαμβανομένων των αναφορών προδιάθεσης για την υγεία, των αναφορών ευεξίας και των αναφορών κατάστασης φορέα», αποκάλυψε η 23andMe.
“Στο βαθμό που ο λογαριασμός σας περιείχε τέτοιες πληροφορίες, ο παράγοντας απειλής μπορεί επίσης να έχει πρόσβαση σε πληροφορίες για την κατάσταση της υγείας που αναφέρονται μόνος του και σε πληροφορίες στις ρυθμίσεις σας.”
Για πελάτες που χρησιμοποίησαν επίσης τη δυνατότητα DNA Συγγενείς του 23andMe, είναι πιθανό οι επιτιθέμενοι να ξέσπασαν επίσης τις πληροφορίες προφίλ του DNA τους συγγενείς και το οικογενειακό δέντρο.
Μπορεί επίσης να έχουν αποκτήσει ορατότητα στις ακόλουθες πληροφορίες των επηρεαζόμενων πελατών εάν κοινοποιηθούν μέσω της λειτουργίας DNA Συγγενείς:
- Αναφορές καταγωγής και αντίστοιχα τμήματα DNA (συγκεκριμένα όπου στα χρωμοσώματά σας εσείς και ο συγγενής σας είχατε αντίστοιχο DNA),
- Τοποθεσία που αναφέρεται από τον εαυτό σας (πόλη/ταχυδρομικός κώδικας),
- Τοποθεσίες γέννησης προγόνων και ονόματα οικογένειας,
-
Φωτογραφία
προφίλ, έτος γέννησης και οτιδήποτε άλλο περιλαμβάνεται στην ενότητα “Συστήστε τον εαυτό σας” του προφίλ τους
Το 23andMe είπε στο BleepingComputer τον Δεκέμβριο ότι οι χάκερ κατέβασαν τα δεδομένα 6,9 εκατομμυρίων ανθρώπων από τους υπάρχοντες 14 εκατομμύρια πελάτες μετά την παραβίαση περίπου 14.000 λογαριασμών χρηστών.
Σε 5,5 εκατομμύρια άτομα έγινε απόξεση των δεδομένων τους μέσω της δυνατότητας DNA Συγγενείς και 1,4 εκατομμυρίων μέσω της λειτουργίας
Family
Tree.
Στις 10 Οκτωβρίου, περίπου μία εβδομάδα μετά τον εντοπισμό της επίθεσης, η 23andMe άρχισε να απαιτεί από όλους τους πελάτες να
επαναφέρουν τους κωδικούς πρόσβασής τους
.
Από τις 6 Νοεμβρίου, όλοι οι νέοι και οι υφιστάμενοι πελάτες πρέπει
χρησιμοποιήστε έλεγχο ταυτότητας δύο παραγόντων
όταν συνδέονται στους λογαριασμούς τους για να αποκλείσουν μελλοντικές προσπάθειες γέμισης διαπιστευτηρίων.
Το περσινό περιστατικό οδήγησε επίσης σε πολλαπλές αγωγές κατά της 23andMe, με αποτέλεσμα η εταιρεία να ενημερώσει τους Όρους Χρήσης της στις 30 Νοεμβρίου με διατάξεις που δυσκολεύουν τους πελάτες να συμμετάσχουν σε ομαδικές αγωγές κατά της 23andMe.
“Στο μέγιστο βαθμό που επιτρέπεται από την ισχύουσα νομοθεσία, εσείς και εμείς συμφωνούμε ότι κάθε μέρος μπορεί να υποβάλει διαφορές εναντίον του άλλου μέρους μόνο με ατομική ιδιότητα και όχι ως ομαδική αγωγή ή συλλογική αγωγή ή ομαδική διαιτησία”, αναφέρεται σε μία από τις ενημερώσεις.
Ωστόσο, η 23andMe είπε ότι αυτές οι αλλαγές προστέθηκαν για να καταστήσουν τη διαδικασία διαιτησίας πιο αποτελεσματική και ευκολότερη για την κατανόηση των πελατών.
VIA:
bleepingcomputer.com
