Společnost 23andMe, která se zabývá genetickým testováním, vyšetřuje únik dat, při kterém byly odhaleny informace o zákaznících včetně profilových fotografií, let narození a údajů o předcích milionů jejích uživatelů.
Ohrožené údaje byly získány neoprávněným přístupem k jednotlivým účtům 23andMe, uvedla společnost v prohlášení, o kterém informoval server Ars Technica. Předběžné výsledky naznačují, že přihlašovací údaje použité k přístupu k účtům „mohl aktér hrozby získat z údajů uniklých během incidentů týkajících se jiných online platforem, kde uživatelé recyklovali přihlašovací údaje“, uvedla společnost 23andMe.
Tato technika, známá jako credential stuffing, spočívá v použití uživatelských jmen a hesel odhalených při předchozích narušeních k průniku do jiných online účtů.
V návaznosti na tvrzení, že někdo získal přístup k určitým údajům zákazníků společnosti 23andMe a prodává je, jsme provedli šetření. Žádný neoprávněný přístup do našich systémů jsme nezjistili. Situaci budeme nadále sledovat.
– 23andMeSupport (@23andMeSupport) October 4, 2023
23andMe ve svém blogovém příspěvku uvedla, že nemá žádné důkazy o skutečném narušení svých systémů. „V tuto chvíli nemáme žádné indicie, že by v našich systémech došlo k incidentu v oblasti bezpečnosti dat,“ napsala společnost.
Podle serveru Wired bylo narušení zaměřeno konkrétně na uživatele aškenázského židovského původu. Hackeři počátkem tohoto týdne zveřejnili na platformě BreachForums první vzorek dat, který podle nich obsahoval 1 milion datových bodů výhradně o aškenázských Židech.
Údaje byly získány vyškrábáním informací z profilů příbuzných připojených prostřednictvím funkce „DNA Relatives“ společnosti 23andMe, která umožňuje zákazníkům spojit se s genetickými protějšky na platformě. Přístupem ke kompromitovaným účtům mohl hacker shromáždit profily příbuzných uživatelů, kteří souhlasili se sdílením svých informací.
„Domníváme se, že aktér hrozby pak mohl v rozporu s našimi podmínkami služby neoprávněně přistupovat k účtům 23andme.com a získávat informace z těchto účtů,“ vysvětlila společnost 23andMe v příspěvku na svém blogu.
Na hackerských fórech inzeroval minulý týden neznámý uživatel prodej dat uživatelů služby 23andMe a tvrdil, že získal informace o více než 7 milionech zákazníků. Uniklé údaje obsahovaly „celá jména, uživatelská jména, profilové fotografie, pohlaví, datum narození, výsledky genetických předků a zeměpisnou polohu“, uvádí BleepingComputer.
Jiný uživatel fóra údajně nabízel přístup k profilům 23andMe ve velkém, přičemž ceny se pohybovaly od 1 do 10 dolarů za jeden účet.
Společnost 23andMe nezveřejnila podrobnosti o počtu zasažených uživatelů ani o rozsahu úniku dat. Podle serveru Ars Technica však jedna databáze obsahovala 1 milion zákazníků aškenázského židovského původu, zatímco druhá obsahovala 300 000 profilů uživatelů čínského původu.
Bezpečnostní experti opakovaně poukazovali na rizika kompromitace genetických údajů. „Vaše DNA je to nejcennější, co vlastníte,“ varovalo v únoru 2021 americké Národní kontrarozvědné a bezpečnostní centrum. „Jsou v ní uloženy nejintimnější údaje o vaší minulosti, přítomnosti a potenciální budoucnosti – zda máte sklony k závislostem nebo vysoké riziko rakoviny.“
„Ztráta vaší DNA není jako ztráta kreditní karty,“ pokračovalo centrum. „Můžete si objednat novou kreditní kartu, ale svou DNA nenahradíte. Ztráta vaší DNA neovlivní pouze vás, ale i vaše příbuzné a potenciálně i další generace.“
23andMe uvedla, že narušení ohlásila orgánům činným v trestním řízení, a vyzvala zákazníky, aby si obnovili hesla a zapnuli dvoufaktorové ověřování.
„Aktivně a rutinně monitorujeme a kontrolujeme naše systémy, abychom zajistili ochranu vašich údajů,“ uvedla společnost 23andMe. „Když prostřednictvím těchto procesů nebo z jiných zdrojů obdržíme informaci, že k údajům zákazníků získaly přístup neoprávněné osoby, okamžitě ji prošetříme, abychom ověřili, zda jsou tyto informace pravdivé.“
Společnost zabývající se genetickým testováním, která na základě analýzy DNA nabízí přehled o původu a zdravotních rizicích, od svého založení v roce 2006 nashromáždila genetické údaje o více než 14 milionech zákazníků.
23andMe uvedla, že uniklá data neobsahují žádné genomické údaje. Ochránci soukromí však již dlouho vyjadřují obavy z citlivosti výsledků analýzy DNA a etnických údajů, které by mohly být při narušení ohroženy.
Únik do systému 23andMe přichází uprostřed vlny velkých kybernetických útoků, které odhalují citlivé informace o uživatelích. Podle společnosti Surfshark, která se zabývá ochranou digitálního soukromí, došlo v loňském roce k úniku celkem 10,9 milionu účtů, přičemž každou sekundu uniklo 10 účtů.
