Buzz
Dữ Liệu Người Dùng Của 23andMe Bị Đánh Cắp Trong Cuộc Tấn Công Nhắm Đến Người Do Thái Ashkenazi
Công ty kiểm tra gen 23andMe xác nhận vào thứ Sáu rằng dữ liệu từ một phần nhỏ người dùng của họ đã bị lộ. Công ty nói rằng hệ thống của họ không bị xâm phạm và kẻ tấn công thu thập dữ liệu bằng cách đoán mật khẩu đăng nhập của một nhóm người dùng, sau đó thu thập thêm thông tin của nhiều người từ tính năng được biết đến với tên gọi là DNA Relatives. Người dùng chọn chia sẻ thông tin của họ qua DNA Relatives để người khác có thể xem.
Hacker đăng mẫu dữ liệu ban đầu trên nền tảng BreachForums vào đầu tuần này, tuyên bố rằng nó chứa 1 triệu điểm dữ liệu chỉ về người Do Thái Ashkenazi. Có vẻ cũng có hàng trăm nghìn người dùng có nguồn gốc Trung Quốc bị ảnh hưởng bởi vụ rò rỉ. Vào thứ Tư, người tấn công bắt đầu bán những gì nó tuyên bố là các hồ sơ 23andMe với giá từ 1 đến 10 đô la mỗi tài khoản, tùy thuộc vào quy mô của giao dịch. Dữ liệu bao gồm những thứ như tên hiển thị, giới tính, năm sinh và một số chi tiết về kết quả dòng gen, như việc ai đó có nguồn gốc "rộng rãi châu Âu" hoặc "rộng rãi Ả Rập". Cũng có thể bao gồm một số thông tin về nguồn gốc địa lý cụ thể hơn. Thông tin không dường như bao gồm dữ liệu gen thô thực tế.
Công ty nhấn mạnh trong một tuyên bố rằng họ không thấy bằng chứng chứng minh hệ thống của họ đã bị xâm phạm. Họ cũng khuyến khích người dùng sử dụng mật khẩu mạnh mẽ, độc đáo và kích hoạt xác minh hai yếu tố để ngăn chặn kẻ tấn công từ việc chiếm đoạt tài khoản cá nhân của họ bằng các thông tin đăng nhập bị rò rỉ từ các vụ việc xâm nhập dữ liệu khác.
“Chúng tôi được thông báo rằng một số thông tin hồ sơ khách hàng của 23andMe đã được tổng hợp thông qua việc truy cập vào các tài khoản cá nhân trên trang 23andMe.com,” công ty nói trong một tuyên bố. “Chúng tôi tin rằng nhà tác động có thể đã, vi phạm điều khoản sử dụng của chúng tôi, truy cập vào các tài khoản 23andme.com mà không được ủy quyền và thu thập thông tin từ những tài khoản đó.”
Công ty không rõ về việc liệu nó đã xác nhận dữ liệu mà nhà tác động đã rò rỉ, lưu ý rằng cuộc điều tra của họ đang tiếp tục và hiện tại họ chỉ có “kết quả dự kiến.” Một người phát ngôn của công ty nói với MYTOUR rằng thông tin rò rỉ khớp với tình huống một số tài khoản người dùng đã bị rò rỉ và sau đó đã được sử dụng để lấy dữ liệu hiển thị trong DNA Relatives. Nhưng khi được áp đặt về chi tiết liệu dữ liệu đã được xác nhận hay chưa, người phát ngôn nói rằng việc xác minh dữ liệu đang chờ và công ty hiện không thể xác nhận liệu thông tin rò rỉ có thật hay không.
Điểm này quan trọng với cả những người mà thông tin có thể đã bị rò rỉ và vì dữ liệu do nhà tác động đăng có tuyên bố bao gồm “những người nổi tiếng.” Các mục cho các nhà công nghệ Mark Zuckerberg, Elon Musk và Sergey Brin đều hiển thị trong dữ liệu mẫu, bao gồm “ID Hồ Sơ,” “ID Tài Khoản,” tên, giới tính, năm sinh, địa điểm hiện tại và các trường được biết đến với tên là “ydna” và “ndna.” Không rõ liệu dữ liệu cho những mục này có chính xác hay đã được chèn. Ví dụ, Musk và Brin có vẻ có cùng một ID Hồ Sơ và Tài Khoản trong thông tin rò rỉ.
Kỹ thuật sử dụng thông tin đăng nhập rò rỉ từ các vụ việc xâm phạm dữ liệu khác để xâm nhập vào các tài khoản nơi những đăng nhập đó đã được sử dụng lại được biết đến là “credential stuffing” và là một kỹ thuật phổ biến để xâm phạm tài khoản.
“Credential stuffing thực sự chưa bao giờ biến mất và rất nhiều điều đó chỉ đơn giản là do con người tái sử dụng mật khẩu của họ—đó là điều làm cho nó trở nên khả thi,” nói Ronnie Tokazowski, một nhà nghiên cứu gian lận số lâu năm. “Và việc nó tuyên bố nhắm vào một cộng đồng Do Thái hoặc những người nổi tiếng—điều này không gây sốc. Điều đó phản ánh mặt dưới của internet.”
Bức tranh đầy đủ về lý do tại sao dữ liệu bị đánh cắp, số lượng lớn hơn mà nhà tác động có, và liệu nó có thực sự tập trung hoàn toàn vào Ashkenazim vẫn chưa rõ ràng.
“Khi dữ liệu được chia sẻ liên quan đến các nhóm dân tộc, quốc gia, chính trị hoặc các nhóm khác, đôi khi đó là do những nhóm đó đã bị nhắm mục tiêu cụ thể, nhưng đôi khi là do người chia sẻ dữ liệu nghĩ rằng nó sẽ tạo ra những tiêu đề có lợi cho uy tín,” nói Brett Callow, một chuyên gia phân tích đe dọa tại công ty bảo mật Emsisoft.
Callow chú ý rằng tình hình đặt ra những câu hỏi toàn diện về việc bảo vệ thông tin di truyền nhạy cảm và những rủi ro khi làm cho nó trở nên khả dụng trong các dịch vụ được thiết kế giống như các mạng xã hội để tạo điều kiện cho việc chia sẻ. Với những nền tảng như vậy đến tất cả vấn đề về quyền riêng tư và an ninh dữ liệu đã làm cho các mạng xã hội truyền thống gặp vấn đề, bao gồm cả vấn đề liên quan đến tập trung và lược đồ dữ liệu.
“Sự cố này thực sự làm nổi bật những rủi ro liên quan đến cơ sở dữ liệu DNA,” Callow nói. “Việc các tài khoản được cho là đã tham gia tính năng ‘DNA Relatives’ đặc biệt là đáng lo ngại vì nó có thể dẫn đến việc thông tin cực kỳ nhạy cảm trở nên công khai.”
Cập nhật 7:00 pm ET, ngày 6 tháng 10 để chú ý rằng dữ liệu từ hàng trăm nghìn người dùng 23andMe có nguồn gốc từ dân tộc Trung Quốc cũng có vẻ đã bị tiết lộ trong sự cố này.
