Компанията за генетични тестове 23andMe разследва нарушение на сигурността на данните, което е довело до разкриване на информация за клиентите, включително профилни снимки, години на раждане и данни за предците на милиони нейни потребители.
Компрометираните данни са получени чрез неоторизиран достъп до индивидуални акаунти на 23andMe, се казва в изявление на компанията, съобщено от Ars Technica. Предварителните резултати сочат, че данните за вход, използвани за достъп до акаунтите, „може да са били събрани от участник в заплахата от данни, изтекли по време на инциденти, включващи други онлайн платформи, в които потребителите са рециклирали данни за вход“, заявиха от 23andMe.
Техниката, известна като „credential stuffing“, включва използване на потребителски имена и пароли, разкрити при предишни пробиви, за проникване в други онлайн акаунти.
Вследствие на твърдение, че някой е получил достъп до определени данни на клиенти на 23andMe и ги продава, проведохме разследване. Не сме установили неоторизиран достъп до нашите системи. Ще продължим да следим ситуацията.
– 23andMeSupport (@23andMeSupport) October 4, 2023
23andMe заяви в публикация в блога си, че не разполага с доказателства за действителен пробив в системите си. „Към момента нямаме никакви индикации, че е имало инцидент, свързан със сигурността на данните в нашите системи“, пише компанията.
Според Wired пробивът е бил насочен конкретно към потребители с еврейско наследство ашкенази. По-рано тази седмица хакерите са публикували първоначална извадка от данни в платформата BreachForums, като са заявили, че тя съдържа 1 милион точки данни изключително за евреите ашкенази.
Данните са получени чрез извличане на информация от профилите на роднини, свързани чрез функцията „ДНК роднини“ на 23andMe, която позволява на клиентите да се свързват с генетични съвпадения в платформата. Получавайки достъп до компрометирани акаунти, хакерът е могъл да събере профили на свързани потребители, които са се съгласили да споделят информацията си.
„Смятаме, че след това, в нарушение на нашите условия за предоставяне на услуги, извършителят на заплахата може да е осъществил достъп до акаунти в 23andme.com без разрешение и да е получил информация от тези акаунти“, обясни 23andMe в своя блог.
На хакерски форуми миналата седмица неизвестен потребител обяви продажбата на потребителски данни на 23andMe, като твърдеше, че е получил информация за над 7 милиона клиенти. Изтеклите данни включват „пълни имена, потребителски имена, профилни снимки, пол, дата на раждане, резултати за генетично родословие и географско местоположение“, според BleepingComputer.
Друг потребител на форума съобщава, че е предлагал достъп до профилите на 23andMe в насипно състояние, като цените са варирали от 1 до 10 долара на акаунт.
От 23andMe не разкриват подробности за броя на засегнатите потребители или степента на изтичане на данни. Но според Ars Technica една от базите данни е съдържала 1 милион потребители с еврейско наследство от рода Ашкенази, а втора – 300 000 потребителски профила с китайски произход.
Експерти по сигурността многократно са посочвали рисковете от компрометиране на генетични данни. „Вашата ДНК е най-ценното нещо, което притежавате“, предупреди Националният център за контраразузнаване и сигурност на САЩ през февруари 2021 г. „Тя съдържа най-интимните подробности за вашето минало, настояще и потенциално бъдеще – дали сте склонни към пристрастяване или сте с висок риск от рак.“
„Да изгубите ДНК не е като да изгубите кредитна карта“, продължава центърът. „Можете да си поръчате нова кредитна карта, но не можете да замените своята ДНК. Загубата на вашата ДНК засяга не само вас, но и вашите роднини и евентуално следващите поколения.“
23andMe заяви, че е съобщил за нарушението на правоприлагащите органи и насърчи клиентите да възстановят паролите си и да активират двуфакторна автентикация.
„Ние активно и рутинно наблюдаваме и одитираме нашите системи, за да гарантираме, че вашите данни са защитени“, заявиха от 23andMe. „Когато получим информация чрез тези процеси или от други източници, в която се твърди, че данните на клиентите са били достъпни за неоторизирани лица, ние незабавно провеждаме разследване, за да потвърдим дали тази информация е точна.“
Компанията за генетични тестове, която предлага информация за произхода и рисковете за здравето въз основа на ДНК анализ, е събрала генетични данни за повече от 14 милиона клиенти от основаването си през 2006 г.
23andMe заяви, че изтеклите данни не съдържат никакви геномни подробности. Но защитниците на неприкосновеността на личния живот отдавна изразяват загриженост относно чувствителността на резултатите от ДНК анализа и етническите данни, които могат да бъдат компрометирани при пробив.
Нарушението в 23andMe идва на фона на вълна от големи кибератаки, при които се разкрива чувствителна информация за потребителите. Миналата година са изтекли общо 10,9 милиона акаунта, като всяка секунда са изтичали по 10 акаунта, според фирмата за защита на личните данни Surfshark.
