Компания 23andMe, занимающаяся генетическим тестированием, проводит расследование по факту утечки данных, в результате которой была раскрыта информация о клиентах, включая фотографии профилей, годы рождения и родословные миллионов пользователей.
Скомпрометированные данные были получены в результате несанкционированного доступа к индивидуальным учетным записям 23andMe, говорится в заявлении компании, поступившем в редакцию Ars Technica. По предварительным данным, учетные данные, использовавшиеся для доступа к учетным записям, «могли быть получены угрожающей стороной из данных, просочившихся в ходе инцидентов, связанных с другими онлайн-платформами, где пользователи использовали повторные учетные данные», — говорится в сообщении 23andMe.
Этот метод, известный как «набивка учетных данных», предполагает использование имен пользователей и паролей, раскрытых в результате предыдущих взломов, для взлома других учетных записей в Интернете.
После сообщения о том, что кто-то получил доступ к данным клиентов 23andMe и продает их, мы провели расследование. Мы не обнаружили несанкционированного доступа к нашим системам. Мы продолжим следить за ситуацией.
— 23andMeSupport (@23andMeSupport)Октябрь 4, 2023
Компания
23andMe сообщила в своем блоге, что у нее нет доказательств фактического взлома ее систем. «На данный момент у нас нет никаких признаков того, что в наших системах произошел инцидент, связанный с безопасностью данных», — написала компания.
По данным Wired, взлому подверглись пользователи, принадлежащие к еврейскому народу ашкенази. В начале этой недели хакеры разместили на платформе BreachForums первую выборку данных, утверждая, что она содержит 1 млн. точек данных исключительно о евреях-ашкенази.
Данные были получены путем соскабливания информации с профилей родственников, подключенных через функцию «DNA Relatives» компании 23andMe, которая позволяет клиентам связываться с генетическими родственниками на платформе. Получив доступ к взломанным учетным записям, хакер мог собрать профили родственников, которые согласились поделиться своей информацией.
«Мы полагаем, что в нарушение условий предоставления услуг хакер мог получить доступ к учетным записям 23andme.com без авторизации и получить информацию из этих учетных записей», — пояснила компания 23andMe в своем блоге.
На прошлой неделе на хакерских форумах неизвестный пользователь разместил объявление о продаже данных пользователей 23andMe, утверждая, что ему удалось получить информацию о более чем 7 млн. клиентов. Как сообщает BleepingComputer, утечка данных включала «полные имена, имена пользователей, фотографии профиля, пол, дату рождения, результаты генетических исследований предков и географическое положение».
Другой пользователь форума, как сообщается, предлагал доступ к профилям 23andMe оптом по цене от 1 до 10 долларов за аккаунт.
Компания 23andMe не раскрыла подробностей о количестве пользователей и масштабах утечки данных. Однако, по данным Ars Technica, одна из баз данных содержала 1 млн. клиентов еврейской национальности ашкенази, а вторая — 300 тыс. профилей пользователей китайской национальности.
Эксперты по безопасности неоднократно указывали на опасность компрометации генетических данных. «Ваша ДНК — это самое ценное, чем вы владеете», — предупреждал Национальный центр контрразведки и безопасности США в феврале 2021 года. «В ней хранятся самые сокровенные подробности вашего прошлого, настоящего и потенциального будущего — склонны ли вы к наркомании или подвержены риску заболевания раком».
«Потерять ДНК — это не то же самое, что потерять кредитную карту», — продолжают в центре. «Вы можете заказать новую кредитную карту, но вы не можете заменить свою ДНК. Потеря ДНК влияет не только на вас, но и на ваших родственников и, возможно, на последующие поколения»
Компания
23andMe заявила, что сообщила о нарушении в правоохранительные органы, и призвала клиентов сбросить пароли и включить двухфакторную аутентификацию.
«Мы активно и регулярно проводим мониторинг и аудит наших систем, чтобы обеспечить защиту ваших данных», — говорится в сообщении 23andMe. «Если в ходе этих процессов или из других источников мы получаем информацию о том, что к данным клиентов был получен несанкционированный доступ, мы немедленно проводим расследование, чтобы проверить, насколько эта информация соответствует действительности».
С момента своего основания в 2006 году компания, занимающаяся генетическим тестированием и предлагающая информацию о происхождении и рисках для здоровья на основе анализа ДНК, собрала генетические данные о более чем 14 миллионах клиентов.
Компания
23andMe заявила, что утечка данных не содержит никакой геномной информации. Однако защитники конфиденциальности уже давно высказывают опасения по поводу чувствительности результатов анализа ДНК и этнических данных, которые могут быть скомпрометированы в результате утечки.
Утечка данных из 23andMe происходит на фоне волны крупных кибератак, в результате которых раскрывается конфиденциальная информация о пользователях. По данным компании Surfshark, в прошлом году в общей сложности было утечено 10,9 млн. учетных записей, причем каждую секунду утечка происходила на 10 учетных записей.