Firma 23andMe, zajmująca się testami genetycznymi, prowadzi dochodzenie w sprawie naruszenia danych, które ujawniło informacje o klientach, w tym zdjęcia profilowe, lata urodzenia i szczegóły dotyczące pochodzenia milionów użytkowników.
Naruszone dane zostały uzyskane poprzez nieautoryzowany dostęp do indywidualnych kont 23andMe, podała firma w oświadczeniu opublikowanym przez Ars Technica. Wstępne wyniki sugerują, że dane logowania używane do uzyskania dostępu do kont „mogły zostać zebrane przez podmiot stanowiący zagrożenie z danych wyciekłych podczas incydentów z udziałem innych platform internetowych, na których użytkownicy ponownie wykorzystali dane logowania”, powiedział 23andMe.
Technika ta, znana jako wypychanie danych uwierzytelniających, polega na używaniu nazw użytkowników i haseł ujawnionych w poprzednich naruszeniach w celu włamania się na inne konta online.
Po zgłoszeniu, że ktoś uzyskał dostęp do niektórych danych klientów 23andMe i je sprzedaje, przeprowadziliśmy dochodzenie. Nie zidentyfikowaliśmy żadnego nieautoryzowanego dostępu do naszych systemów. Będziemy nadal monitorować sytuację.
– 23andMeSupport (@23andMeSupport) October 4, 2023
23andMe stwierdziło we wpisie na blogu, że nie ma dowodów na faktyczne naruszenie swoich systemów. „W tej chwili nie mamy żadnych przesłanek wskazujących na to, że w naszych systemach doszło do incydentu związanego z bezpieczeństwem danych” – napisała firma.
Według Wired, naruszenie dotyczyło w szczególności użytkowników pochodzenia żydowskiego aszkenazyjskiego. Hakerzy opublikowali wstępną próbkę danych na platformie BreachForums na początku tego tygodnia, twierdząc, że zawiera ona 1 milion punktów danych dotyczących wyłącznie Żydów aszkenazyjskich.
Dane zostały uzyskane poprzez zeskrobanie informacji o profilach krewnych połączonych za pośrednictwem funkcji „DNA Relatives” firmy 23andMe, która umożliwia klientom łączenie się z dopasowaniami genetycznymi na platformie. Uzyskując dostęp do zainfekowanych kont, haker mógł gromadzić profile powiązanych użytkowników, którzy wyrazili zgodę na udostępnianie swoich informacji.
„Uważamy, że podmiot stanowiący zagrożenie mógł następnie, naruszając nasze warunki świadczenia usług, uzyskać dostęp do kont 23andme.com bez autoryzacji i uzyskać informacje z tych kont” – wyjaśnił 23andMe w swoim poście na blogu.
Na forach hakerskich w zeszłym tygodniu nieznany użytkownik reklamował sprzedaż danych użytkowników 23andMe, twierdząc, że uzyskał informacje o ponad 7 milionach klientów. Według BleepingComputer, wyciekłe dane obejmowały „imiona i nazwiska, nazwy użytkowników, zdjęcia profilowe, płeć, datę urodzenia, wyniki genetycznego pochodzenia i położenie geograficzne”.
Inny użytkownik forum oferował podobno hurtowy dostęp do profili 23andMe, a ceny wahały się od 1 do 10 dolarów za konto.
23andMe nie ujawniło szczegółów na temat liczby użytkowników, których to dotyczyło, ani zakresu wycieku danych. Jednak według Ars Technica, jedna baza danych zawierała 1 milion klientów pochodzenia żydowskiego aszkenazyjskiego, podczas gdy druga zawierała 300 000 profili użytkowników o chińskim pochodzeniu.
Eksperci ds. bezpieczeństwa wielokrotnie wspominali o ryzyku związanym z naruszeniem danych genetycznych. „Twoje DNA jest najcenniejszą rzeczą, jaką posiadasz” – ostrzegło amerykańskie Narodowe Centrum Kontrwywiadu i Bezpieczeństwa w lutym 2021 roku. „Zawiera najbardziej intymne szczegóły dotyczące twojej przeszłości, teraźniejszości i potencjalnej przyszłości – niezależnie od tego, czy jesteś podatny na uzależnienia, czy też wysokie ryzyko zachorowania na raka”.
„Utrata DNA nie jest jak utrata karty kredytowej” – kontynuuje centrum. „Możesz zamówić nową kartę kredytową, ale nie możesz zastąpić swojego DNA. Utrata DNA wpływa nie tylko na ciebie, ale także na twoich krewnych i potencjalnie na kolejne pokolenia.”
23andMe poinformowało, że zgłosiło naruszenie organom ścigania i zachęciło klientów do zresetowania haseł i włączenia uwierzytelniania dwuskładnikowego.
„Aktywnie i rutynowo monitorujemy i audytujemy nasze systemy, aby zapewnić ochronę danych użytkowników” – powiedział 23andMe. „Kiedy otrzymujemy informacje za pośrednictwem tych procesów lub z innych źródeł, które twierdzą, że dostęp do danych klientów uzyskały osoby nieupoważnione, natychmiast badamy, czy te informacje są dokładne”.
Firma zajmująca się testami genetycznymi, która oferuje wgląd w pochodzenie i ryzyko zdrowotne w oparciu o analizę DNA, zgromadziła dane genetyczne ponad 14 milionów klientów od momentu jej założenia w 2006 roku.
Firma
23andMe oświadczyła, że wyciekłe dane nie zawierają żadnych szczegółów genomicznych. Jednak obrońcy prywatności od dawna wyrażają obawy dotyczące wrażliwości wyników analizy DNA i danych etnicznych, które mogą zostać naruszone w wyniku naruszenia.
Naruszenie 23andMe pojawia się na fali poważnych cyberataków ujawniających poufne informacje o użytkownikach. W ubiegłym roku wyciekło w sumie 10,9 miliona kont, przy czym 10 kont wyciekało co sekundę, według firmy Surfshark zajmującej się prywatnością cyfrową.
