基因检测公司 23andMe 正在调查一起数据泄露事件,该事件暴露了数百万用户的客户信息,包括个人资料照片、出生年份和祖先详情。
据 Ars Technica 报道,该公司在一份声明中称,被泄露的数据是通过未经授权访问 23andMe 个人账户获得的。23andMe公司表示,初步结果显示,用于访问这些账户的登录凭证 “可能是威胁者从涉及其他在线平台的事件中泄露的数据中收集的,在这些平台上,用户回收了登录凭证”。
这种技术被称为 “凭据填充”(credential stuffing),涉及使用以前被入侵时暴露的用户名和密码来入侵其他在线账户。
在有人声称有人获取并出售某些 23andMe 客户数据后,我们进行了调查。我们没有发现任何未经授权访问我们系统的行为。我们将继续监控这一情况。
– 23andMeSupport (@23andMeSupport) 2023年10月4日
23andMe在一篇博文中表示,没有证据表明其系统确实遭到了入侵。”该公司写道:”我们目前没有任何迹象表明我们的系统内发生了数据安全事件。
据《连线》(Wired)报道,此次漏洞专门针对阿什肯纳兹犹太血统的用户。黑客本周早些时候在 BreachForums 平台上发布了一份初步数据样本,声称其中包含 100 万个数据点,完全是关于阿什肯纳兹犹太人的。
这些数据是通过23andMe的 “DNA亲属 “功能获取的,该功能允许客户与平台上的基因匹配者建立联系。通过访问被入侵的账户,黑客可以收集选择共享信息的相关用户的资料。
23andMe在其博文中解释说:”我们认为,该威胁行为者可能违反了我们的服务条款,在未经授权的情况下访问了23andme.com账户,并从这些账户中获取了信息,”
。
上周,在黑客论坛上,一名身份不明的用户打出了出售 23andMe 用户数据的广告,声称已经获得了 700 多万客户的信息。据 BleepingComputer 报道,泄露的数据包括 “全名、用户名、个人照片、性别、出生日期、遗传祖先结果和地理位置”。
据报道,另一名论坛用户提供批量访问 23andMe 资料的服务,每个账户的价格从 1 美元到 10 美元不等。
23andMe 没有披露受影响用户数量或数据泄露程度的详细信息。但据 Ars Technica 报道,一个数据库包含 100 万名阿什肯纳兹犹太血统的客户,而第二个数据库则包含 30 万名中国血统的用户资料。
安全专家多次提到基因数据泄露的风险。”2021 年 2 月,美国国家反间谍与安全中心警告说:”你的 DNA 是你拥有的最有价值的东西。”它掌握着你过去、现在和潜在未来的最私密细节–无论你是容易上瘾还是癌症高危人群。”
“丢失DNA不像丢失信用卡,”该中心继续说。”你可以订购一张新的信用卡,但你无法更换你的 DNA。DNA的丢失不仅会影响到你自己,还会影响到你的亲属,甚至可能影响到子孙后代。”
23andMe表示,它已向执法部门报告了这一漏洞,并鼓励客户重置密码和启用双因素身份验证。
“23andMe表示:”我们积极并定期监控和审核我们的系统,以确保您的数据受到保护。”当我们通过这些流程或其他来源收到信息,声称客户数据被未经授权的个人访问时,我们会立即进行调查,以验证这些信息是否准确。”
这家基因检测公司通过DNA分析来洞察祖先和健康风险,自2006年成立以来,已经积累了超过1400万客户的基因数据。
23andMe表示,泄露的数据不包含任何基因组细节。但长期以来,隐私权倡导者一直担心DNA分析结果和种族数据的敏感性会在泄露事件中受到损害。
23andMe 数据泄露事件发生在用户敏感信息遭到重大网络攻击的浪潮中。数字隐私公司 Surfshark 的数据显示,去年共有 1090 万个账户被泄露,每秒钟就有 10 个账户被泄露。
