Firma genetyczna 23andMe informuje o kradzieży danych użytkowników w ataku credential stuffing. 23andMe potwierdziło, że jest świadome wycieku danych użytkowników z jej platformy. Dane pojawiły się na sprzedaż na forach hakerskich.
23andMe straciło dane klientów
23andMe to amerykańska firma biotechnologiczna, oferująca usługi testów genetycznych klientom, którzy wysyłają próbkę śliny do ich laboratoriów, a następnie otrzymują raport o pochodzeniu i predyspozycjach genetycznych.
Niedawno sprawca zagrożenia opublikował próbki danych, które rzekomo zostały skradzione z firmy genetycznej, a kilka dni później zaoferował sprzedaż pakietów danych należących do klientów 23andMe.
Początkowy wyciek danych był ograniczony, przy czym sprawca zagrożenia opublikował 1 mln linii danych dotyczących ludzi aszkenazyjskich (jedna z głównych grup etnicznych wśród Żydów, obok Sefardyjczyków i Mizrahijczyków). Jednak 4 października cyberprzestępca zaoferował sprzedaż profili danych hurtowo za 1-10 dol. za konto 23andMe, w zależności od ilości zakupionych.
Początkowy wyciek danych genetycznych
Rzecznik 23andMe potwierdził, że dane są prawdziwe, i powiedział serwisowi BleepingComputer, że sprawcy zagrożenia użyli danych uwierzytelniających z innych naruszeń, aby uzyskać dostęp do kont 23andMe i ukraść wrażliwe dane.
— Zostaliśmy poinformowani, że pewne informacje o profilach klientów 23andMe zostały skompilowane poprzez dostęp do indywidualnych kont na 23andMe.com — stwierdził rzecznik 23andMe. — Nie mamy na razie żadnych wskazań, że doszło do incydentu związanego z bezpieczeństwem danych w naszych systemach — dodał, wyjaśniając, że wstępne wyniki tego śledztwa sugerują, że dane uwierzytelniające używane w tych próbach dostępu mogły zostać zebrane przez sprawcę zagrożenia z danych wyciekłych podczas incydentów związanych z innymi platformami online.
Nie używaj tych samych haseł w innych miejscach
Informacje, które zostały ujawnione w wyniku tego incydentu, obejmują pełne nazwiska, nazwy użytkowników, zdjęcia profilowe, płeć, datę urodzenia, wyniki analizy genetycznej pochodzenia oraz lokalizację geograficzną.
Hurtowa sprzedaż skradzionych profili danych genetycznych na forum hakerskim
Naruszone konta należały do osób, które zdecydowały się na korzystanie z funkcji “DNA Relatives” platformy, która pozwala użytkownikom znaleźć genetycznych krewnych i nawiązać z nimi kontakt.
23andMe powiedział, że platforma oferuje dwuetapowe uwierzytelnianie jako dodatkowy środek ochrony konta i zachęca wszystkich użytkowników do jego włączenia.
Użytkownicy powinni powstrzymać się także od ponownego używania tych samych haseł w innych miejscach, i konsekwentnie stosować silne, różne dane uwierzytelniające dla każdego konta online.
23andMe. Dodatkowe ważne informacje
Dlaczego wyciek danych z 23andMe jest niebezpieczny?
Wyciek danych z firmy 23andMe jest niebezpieczny z kilku powodów:
- Wrażliwe informacje. Dane genetyczne są niezwykle wrażliwymi informacjami, które mogą ujawnić dużo o osobie, w tym predyspozycje do określonych chorób oraz pochodzenie etniczne. Wyciek takich danych może prowadzić do naruszeń prywatności na dużą skalę.
- Naruszenie prywatności. Oprócz danych genetycznych, wyciek obejmował również pełne nazwiska, nazwy użytkowników, zdjęcia profilowe, płeć, datę urodzenia i lokalizację geograficzną użytkowników. Takie informacje mogą być wykorzystywane do celów identyfikacyjnych lub pozyskiwania nieuprawnionych dostępów.
- Wykorzystanie w celach nielegalnych. Dane te mogą być wykorzystywane przez nieetyczne lub nielegalne podmioty do różnych celów, takich jak oszustwa, kradzież tożsamości, czy nawet cyberprzemoc lub stalking.
- Niepożądane skutki dla krewnych. Ponieważ dane genetyczne są dziedziczne, wyciek danych jednej osoby może również mieć wpływ na jej krewnych. Nawet jeśli ktoś nie korzystał z usług 23andMe, dane genetyczne jego krewnych mogą ujawnić informacje o nim samym.
- Długoterminowe konsekwencje. W przeciwieństwie do innych typów danych, dane genetyczne są niezmienne w czasie. Wyciek danych genetycznych może mieć długoterminowe konsekwencje dla ofiar.
W związku z powyższym wyciek danych z 23andMe stanowi poważne naruszenie prywatności i bezpieczeństwa użytkowników, a także ich rodzin.
Ile kosztuje test 23andMe?
Ceny testów 23andMe mogą się różnić w zależności od wybranego zestawu oraz kraju, w którym zamawiasz test. W Stanach Zjednoczonych koszt podstawowego zestawu “Ancestry + Traits” wynosi 99 dol., natomiast zestawu “Health + Ancestry” już 199 dol.
W Europie ceny te wynoszą odpowiednio 99 i 169 euro. W Wielkiej Brytanii zestaw “Ancestry + Traits” kosztuje 79 funtów, a “Health + Ancestry” to wydatek 149 funtów.
Nie ma natomiast dokładnych cen w polskich złotych. Możesz sprawdzić aktualne ceny na stronie 23andMe lub skontaktować się z ich obsługą klienta, aby uzyskać więcej informacji na temat cen w Polsce.
Na czym polega atak credential stuffing?
Atak credential stuffing to typ cyberataku, gdzie przestępcy wykorzystują zbiory loginów i haseł zdobytych z wcześniejszych wycieków danych, aby próbować zalogować się do różnych serwisów internetowych.
Nazwa “credential stuffing” pochodzi stąd, że atakujący “wpycha” te zestawy danych do różnych serwisów, aby zobaczyć, gdzie uda się zalogować. Wiele osób używa tych samych haseł na różnych platformach, co sprawia, że ten typ ataku jest skuteczny.
Przestępcy automatyzują te próby logowania za pomocą specjalnych narzędzi lub botnetów, co pozwala im na szybkie przetestowanie dużej liczby kombinacji danych uwierzytelniających na wielu stronach internetowych. Jeśli którakolwiek z prób logowania się powiedzie, atakujący mogą przejąć kontrolę nad kontem ofiary i wykorzystać je do różnych celów, takich jak kradzież tożsamości, oszustwa finansowe lub dalsze rozprzestrzenianie malware. Właśnie taki atak, zdaniem firmy, przeprowadzono na 23andMe.
Podczas ataku credential stuffing, ofiary, które zrezygnowały z ponownego używania haseł i zastosowały silne, unikatowe hasła, są znacznie mniej narażone na ryzyko kompromitacji.
Sprawdź też: