黑客利用回收的凭据访问了数百万的祖先、个人资料数据。
图片:Shutterstock
基因检测公司 23andMe 正在调查一起数据泄露事件,该事件泄露了数百万用户的客户信息,包括个人资料照片、出生年份和血统详细信息。
该公司在Ars Technica报道的一份声明中表示,泄露的数据是通过未经授权访问个人 23andMe 帐户获得的。23andMe 表示,初步结果表明,用于访问帐户的登录凭据“可能是威胁行为者从涉及其他在线平台的事件中泄露的数据中收集的,在这些平台上,用户回收了登录凭据。”
这种技术被称为撞库,涉及使用之前泄露事件中暴露的用户名和密码来侵入其他在线帐户。
23andMe 在一篇博客文章中表示,没有证据表明其系统确实遭到破坏。该公司写道:“目前我们没有任何迹象表明我们的系统内存在数据安全事件。”
据《连线》报道,此次泄露专门针对德系犹太裔用户。本周早些时候,黑客在 BreachForums 平台上发布了一份初始数据样本,声称其中包含 100 万个专门针对德系犹太人的数据点。
这些数据是通过抓取通过 23andMe 的“DNA 亲属”功能连接的亲属的个人资料信息获得的,该功能允许客户在平台上与基因匹配进行连接。通过访问受损帐户,黑客可以收集选择共享信息的相关用户的个人资料。
23andMe 在其博客文章中解释说:“我们认为,威胁行为者可能违反了我们的服务条款,未经授权访问了 23andme.com 帐户,并从这些帐户中获取了信息。”
上周,一名身份不明的用户在黑客论坛上发布了出售 23andMe 用户数据的广告,声称已获得超过 700 万客户的信息。据BleepingComputer称,泄露的数据包括“全名、用户名、个人资料照片、性别、出生日期、遗传血统结果和地理位置” 。
据报道,另一名论坛用户批量提供 23andMe 个人资料的访问权限,价格从每个帐户 1 美元到 10 美元不等。
23andMe 没有透露受影响用户数量或数据泄露程度的详细信息。但据Ars Technica称,一个数据库包含 100 万德系犹太裔客户,而第二个数据库则包含 30 万中国血统的用户资料。
安全专家多次提到基因数据泄露的风险。美国国家反情报与安全中心于 2021 年 2 月警告说:“你的DNA是你拥有的最有价值的东西。它保存着你过去、现在和潜在未来的最私密的细节——无论你是容易上瘾还是高风险。”为了癌症。”
“失去你的DNA并不像失去一张信用卡,”该中心继续说道。“你可以订购一张新的信用卡,但你无法更换你的 DNA。DNA 的丢失不仅会影响你,还会影响你的亲戚,甚至可能影响子孙后代。”
23andMe 表示,已向执法部门报告了这一违规行为,并鼓励客户重置密码并启用双因素身份验证。
23andMe 表示:“我们积极定期监控和审核我们的系统,以确保您的数据受到保护。” “当我们通过这些流程或从其他来源收到声称客户数据已被未经授权的个人访问的信息时,我们会立即调查以验证该信息是否准确。”
这家基因检测公司根据 DNA 分析提供对血统和健康风险的见解,自 2006 年成立以来已积累了超过 1400 万客户的基因数据。
23andMe 表示,泄露的数据不包含任何基因组细节。但隐私倡导者长期以来一直对 DNA 分析结果的敏感性和种族数据在泄露中受到损害表示担忧。
23andMe 漏洞发生在一系列重大网络攻击浪潮中,导致敏感用户信息被泄露。根据数字隐私公司 Surfshark的数据,去年总共有 1090 万个账户被泄露,每秒就有 10 个账户被泄露。