Οι χάκερ της 23andMe είχαν πρόσβαση σε πληροφορίες καταγωγής από χιλιάδες πελάτες και τους συγγενείς τους στο DNA

Ενα


έχει αποκαλύψει περισσότερες λεπτομέρειες σχε

τι

κά με αυτό που αποκαλύφθηκε νωρίτερα αυτό το φθινόπωρο. Η εταιρεία λέει ότι η έρευνά της διαπίστωσε ότι οι χάκερ ήταν σε θέση να έχουν πρόσβαση σε πληροφορίες από το 0,1 τοις εκατό της βάσης χρηστών της ή στους λογαριασμούς περίπου 14.000 από τα 14 εκατομμύρια συνολικά πελάτες της,




σημειώσεις. Επιπλέον, οι εισβολείς μπόρεσαν να εκμεταλλευτούν τη δυνατότητα “opt-in DNA Relatives” του

23andMe

για να αποκτήσουν πρόσβαση σε “πληροφορίες προφίλ σχετικά με την κατ

αγωγή

άλλων χρηστών”. Το 23andMe δεν έχει πει πόσοι από αυτούς τους χρήστες επηρεάστηκαν. Οι χάκερ δημοσίευσαν πληροφορίες και από τις δύο ομάδες στο διαδίκτυο.

Όταν η παραβίαση αποκαλύφθηκε για πρώτη φορά τον Οκτώβριο, η εταιρεία είπε ότι η έρευνά της «διαπίστωσε ότι δεν είχαν διαρρεύσει

αποτελέσματα

γενετικών εξετάσεων». Σύμφωνα με τη νέα κατάθεση, τα δεδομένα «περιλάμβαναν γενικά πληροφορίες καταγωγής και, για ένα υποσύνολο αυτών των λογαριασμών, πληροφορίες που σχετίζονται με την υγεία με βάση τη γενετική του χρήστη». Όλα αυτά αποκτήθηκαν μέσω μιας επίθεσης πλήρωσης διαπιστευτηρίων, κατά την οποία οι χάκερ χρησιμοποίησαν πληροφορίες σύνδεσης από άλλους, προηγουμένως παραβιασμένους ιστότοπους για να αποκτήσουν πρόσβαση στους λογαριασμούς αυτών των χρηστών σε άλλους ιστότοπους. Κάνοντας αυτό, λέει η κατάθεση, «ο ηθοποιός της απειλής είχε επίσης πρόσβαση σε σημαντικό αριθμό αρχείων που περιείχαν πληροφορίες προφίλ σχετικά με την καταγωγή άλλων χρηστών που αυτοί οι χρήστες επέλεξαν να μοιραστούν όταν συμμετείχαν στη λειτουργία DNA Συγγενείς του 23andMe και δημοσίευσε ορισμένες πληροφορίες στο διαδίκτυο».

Το Engadget επικοινώνησε με το 23andMe για σχόλια. Μετά την ανακάλυψη της παραβίασης,


έδωσε οδηγίες στους επηρεαζόμενους χρήστες να αλλάξουν τους κωδικούς πρόσβασής τους και αργότερα κυκλοφόρησε τον έλεγχο ταυτότητας δύο παραγόντων για όλους τους πελάτες της. Σε άλλη ενημέρωση την

Παρασκευή

, η 23andMe είπε ότι ολοκλήρωσε την έρευνα και ειδοποιεί όλους όσους επηρεάστηκαν. Η εταιρεία έγραψε επίσης στην κατάθεση ότι «πιστεύει ότι η δραστηριότητα του παράγοντα απειλής περιορίζεται» και εργάζεται για να αφαιρεθούν οι δημόσια δημοσιευμένες πληροφορίες.