遺伝子検査会社23andMeは、数百万人のユーザーのプロフィール写真、生年月日、先祖の詳細などの顧客情報が流出したデータ侵害について調査している。
漏洩したデータは、23andMeの個人アカウントへの不正アクセスによって入手されたものであると、同社はArs Technicaが報じた声明の中で述べている。予備的な結果では、アカウントにアクセスするために使用されたログイン認証情報は、「ユーザーがログイン認証情報を再利用した他のオンラインプラットフォームに関するインシデントで流出したデータから、脅威行為者によって収集された可能性がある」と23andMe社は述べている。
クレデンシャル・スタッフィングとして知られるこのテクニックは、以前の侵害で暴露されたユーザー名とパスワードを使用して、他のオンラインアカウントに侵入することを含む。
何者かが23andMeの特定の顧客データにアクセスし、売却しているという主張を受けて、調査を行いました。弊社システムへの不正アクセスは確認されておりません。引き続き状況を注視してまいります。
– 23andMeSupport(@23andMeSupport)2023年10月4日
23andMeはブログ投稿で、同社のシステムが実際に侵害された証拠はないと述べた。「現時点では、当社のシステム内でデータ・セキュリティ・インシデントが発生したという兆候はありません」と同社は書いている。
ワイアードによると、この情報漏洩は特にアシュケナージ・ユダヤ人の血を引くユーザーをターゲットにしていた。ハッカーは今週初め、BreachForumsというプラットフォームに最初のデータサンプルを投稿し、アシュケナージ・ユダヤ人に関する100万件のデータのみが含まれていると主張した。
このデータは、23andMeの “DNA Relatives “機能を通じてつながった親族のプロフィール情報をスクレイピングすることで入手された。侵害されたアカウントにアクセスすることで、ハッカーは自分の情報を共有することを選択した関連ユーザーのプロフィールを集めることができた。
“我々は、脅威の行為者が、我々の利用規約に違反して、許可なく23andme.comのアカウントにアクセスし、それらのアカウントから情報を取得した可能性があると考えています “と23andMeはブログ投稿で説明した。
先週、ハッキングフォーラムで、見知らぬユーザーが23andMeのユーザーデータの販売を宣伝し、700万人以上の顧客情報を入手したと主張した。BleepingComputerによると、流出したデータには「フルネーム、ユーザー名、プロフィール写真、性別、生年月日、遺伝的先祖の結果、地理的位置」が含まれていたという。
別のフォーラム・ユーザーは、23andMeのプロファイルへのアクセスを一括で提供し、その価格は1アカウントあたり1ドルから10ドルだったと報告している。
23andMeは、影響を受けたユーザー数やデータ流出の範囲についての詳細は明らかにしていない。しかし、Ars Technicaによると、1つのデータベースにはアシュケナージ・ユダヤ人の血を引く100万人の顧客が含まれており、2つ目のデータベースには中国人の先祖を持つ30万人のユーザープロファイルが含まれていたという。
セキュリティの専門家たちは、漏洩した遺伝子データの危険性を繰り返し指摘してきた。「あなたのDNAは、あなたが所有する最も貴重なものです」と、2021年2月に米国国家防諜安全保障センターは警告した。「DNAはあなたの過去、現在、そして潜在的な未来に関する最も詳細な情報を保持している。
「DNAを失うことは、クレジットカードを失うようなことではありません。「クレジットカードは再発行できますが、DNAは再発行できません。DNAの喪失は、あなただけでなく、あなたの親族、そして潜在的に、何世代にもわたって影響を及ぼすのです」
23
23andMeは、法執行機関に情報漏洩を報告し、パスワードをリセットして2要素認証を有効にするよう顧客に奨励したと述べた。
「23andMeは、”我々は積極的かつ日常的に、あなたのデータが保護されていることを保証するために、我々のシステムを監視し、監査している。「これらのプロセスを通じて、あるいは他の情報源から、顧客データが権限のない個人によってアクセスされたという情報を受け取った場合、私たちは直ちに調査し、その情報が正確かどうかを検証します。
DNA分析に基づき、先祖の血筋や健康リスクに関する洞察を提供するこの遺伝子検査会社は、2006年の創業以来、1400万人以上の顧客の遺伝子データを蓄積してきた
。
23andMeは、流出したデータにはゲノムの詳細は含まれていないと述べた。しかし、プライバシー擁護団体は以前から、DNA分析結果や民族データの機密性が侵害されることに懸念を示してきた。
23andMeの情報流出は、機密性の高いユーザー情報が流出する大規模なサイバー攻撃が相次ぐ中で起きた。デジタルプライバシー企業のSurfsharkによると、昨年は合計で1090万アカウントが流出し、毎秒10アカウントが流出している。
