Buzz
Sự Cố Bảo Mật của 23andMe Ngày Càng Trở Nên Phức Tạp
Thông tin chi tiết ngày càng được rõ về cuộc tấn công mạng mà công ty kiểm tra gen 23andMe báo cáo lần đầu vào tháng 10. Nhưng khi công ty chia sẻ thêm thông tin, tình hình trở nên mịt mờ hơn và tạo ra nhiều không chắc chắn hơn cho người dùng cố gắng hiểu rõ hậu quả.
23andMe thông báo vào đầu tháng 10 rằng kẻ tấn công đã xâm nhập vào một số tài khoản người dùng của họ và lợi dụng quyền truy cập này để thu thập dữ liệu cá nhân từ một phần lớn hơn của người dùng thông qua dịch vụ chia sẻ xã hội được gọi là DNA Relatives. Lúc đó, công ty không cho biết bao nhiêu người dùng bị ảnh hưởng, nhưng các hacker đã bắt đầu bán dữ liệu trên các diễn đàn tội phạm mà dường như được lấy từ ít nhất một triệu người dùng 23andMe, nếu không nhiều hơn. Trong một bản báo cáo của Ủy ban Chứng khoán và Trao đổi Mỹ vào thứ Sáu, công ty nói rằng “nhóm đe doạ có thể truy cập vào một tỷ lệ rất nhỏ (0,1%) các tài khoản người dùng,” hoặc khoảng 14,000, dựa trên ước lượng gần đây của công ty rằng nó có hơn 14 triệu khách hàng.
14,000 là một con số lớn, nhưng con số này không tính đến những người dùng bị ảnh hưởng bởi việc lấy dữ liệu của kẻ tấn công từ DNA Relatives. Bản báo cáo SEC chỉ ghi chú rằng sự cố cũng liên quan đến “một lượng lớn tệp chứa thông tin hồ sơ về nguồn gốc của người dùng khác.”
Vào thứ Hai, 23andMe xác nhận với TechCrunch rằng những kẻ tấn công đã thu thập dữ liệu cá nhân của khoảng 5,5 triệu người đã chọn tham gia DNA Relatives, cũng như thông tin từ thêm 1,4 triệu người dùng DNA Relatives khác “đã có thông tin hồ sơ cây gia đình của họ được truy cập." 23andMe sau đó chia sẻ thông tin mở rộng này với MYTOUR.
Từ nhóm 5,5 triệu người, hacker đánh cắp tên hiển thị, lần đăng nhập gần đây nhất, nhãn quan hệ, mối quan hệ dự đoán và phần trăm DNA được chia sẻ với các kết quả DNA Relatives. Ở một số trường hợp, nhóm này cũng có các dữ liệu khác bị lộ, bao gồm báo cáo về dòng họ và chi tiết về nơi trên nhiễm sắc thể mà họ và người thân của họ có DNA phù hợp, địa điểm tự báo cáo, địa điểm sinh tổ tiên, tên gia đình, hình ảnh hồ sơ, năm sinh, liên kết đến cây gia đình tự tạo và thông tin hồ sơ khác. Phần nhỏ hơn (nhưng vẫn lớn) của 1,4 triệu người dùng DNA Relatives bị ảnh hưởng đều có dữ liệu bị lộ từ hồ sơ cụ thể đã nói đến là “Family Tree.” Dữ liệu bị đánh cắp bao gồm tên hiển thị và nhãn quan hệ và, ở một số trường hợp, năm sinh và dữ liệu địa điểm tự báo cáo.
Khi được hỏi tại sao thông tin mở rộng này không có trong bản báo cáo SEC, người phát ngôn của 23andMe là Katie Watson nói với MYTOUR rằng “chúng tôi chỉ làm rõ thông tin đã được bao gồm trong bản báo cáo SEC bằng cách cung cấp số liệu cụ thể hơn.”
23andMe đã khẳng định rằng kẻ tấn công đã sử dụng một kỹ thuật được biết đến là credential stuffing để xâm phạm 14,000 tài khoản người dùng—tìm các trường hợp mà thông tin đăng nhập bị rò rỉ từ các dịch vụ khác lại được sử dụng lại trên 23andMe. Sau sự cố, công ty đã buộc tất cả người dùng đặt lại mật khẩu và bắt đầu yêu cầu xác thực hai yếu tố cho tất cả khách hàng. Trong những tuần sau khi 23andMe ban đầu tiết lộ vụ việc của mình, các dịch vụ tương tự khác, bao gồm Ancestry và MyHeritage, cũng bắt đầu khuyến khích hoặc yêu cầu xác thực hai yếu tố trên tài khoản của họ.
Trong tháng 10 và lại vào tuần này, MYTOUR đã đặt nghi vấn đối với 23andMe về việc phát hiện của họ rằng sự việc xâm phạm tài khoản người dùng chỉ có thể do các cuộc tấn công credential-stuffing. Công ty đã lặp đi lặp lại từ chối bình luận, nhưng nhiều người dùng đã chú ý rằng họ chắc chắn tên người dùng và mật khẩu tài khoản 23andMe của họ là duy nhất và không thể bị rò rỉ ở đâu khác trong một vụ rò rỉ khác.
Tuy nhiên, ít nhất một ví dụ, 23andMe sau cùng đã cung cấp giải thích cho người dùng. Vào thứ Ba, Giám đốc An ninh mạng Cơ quan An ninh Quốc gia Mỹ Rob Joyce ghi chú trên tài khoản cá nhân X của mình (trước đây là Twitter): “Họ tiết lộ về cuộc tấn công credential stuffing, nhưng họ không nói làm thế nào các tài khoản đã bị mục tiêu để stuffing. Điều này là duy nhất và không phải là một tài khoản có thể được lấy từ web hoặc các trang khác.” Joyce viết rằng anh ta tạo một địa chỉ email duy nhất cho mỗi công ty anh ta sử dụng để tạo tài khoản. “Tài khoản này không được sử dụng ở BẤT CỨ nơi nào khác và đã không bị stuff thành công,” ông viết thêm: “Quan điểm cá nhân: Vụ hack của @23andMe vẫn tồi tệ hơn so với những gì họ công bố với thông báo mới.”
Một vài giờ sau khi Joyce đặt nghi vấn này trên truyền hình công cộng (và MYTOUR hỏi 23andMe về trường hợp của anh ta), Joyce nói rằng công ty đã liên lạc với anh ta để xác định đã xảy ra chuyện gì với tài khoản của anh ta. Joyce đã sử dụng một địa chỉ email duy nhất cho tài khoản 23andMe của mình, nhưng công ty hợp tác với MyHeritage vào năm 2014 và 2015 để cải thiện chức năng “Family Tree” của DNA Relatives, mà Joyce nói ông sau đó đã sử dụng. Sau đó, riêng lẻ, MyHeritage đã trải qua một vụ rò rỉ dữ liệu vào năm 2018, trong đó địa chỉ email độc đáo của Joyce trên 23andMe có vẻ đã bị tiết lộ. Ông thêm rằng do sử dụng mật khẩu mạnh, độc đáo cho cả hai tài khoản MyHeritage và 23andMe, không một cái nào bao giờ bị kẻ tấn công xâm phạm thành công.
Câu chuyện nhỏ này nhấn mạnh tầm quan trọng của việc chia sẻ dữ liệu người dùng giữa các công ty và tính năng phần mềm thúc đẩy việc chia sẻ xã hội khi thông tin liên quan là cá nhân và trực tiếp liên quan đến bản thân. Có thể rằng số lượng lớn người dùng bị ảnh hưởng không nằm trong báo cáo SEC vì 23andMe (giống như nhiều công ty đã trải qua việc bị xâm phạm bảo mật) không muốn bao gồm dữ liệu scraped trong loại dữ liệu breached. Những đặc điểm này, tuy nhiên, cuối cùng làm cho người dùng khó hiểu được quy mô và tác động của các sự cố bảo mật.
“Tôi mạnh mẽ tin rằng sự không an toàn về mặt mạng cơ bản là một vấn đề chính sách,” nói Brett Callow, một chuyên gia đe dọa tại công ty an ninh Emsisoft. “Chúng ta cần có các luật lệ và quy định thống nhất về việc tiết lộ và báo cáo, ngôn ngữ được quy định cho những thông báo và báo cáo đó, quy định và cấp phép cho các đàm phán viên. Quá nhiều điều xảy ra trong bóng tối hoặc được làm mờ bởi những từ ngữ gian dối. Điều này làm nhiều hại và chỉ giúp đỡ kẻ tấn công mạng.”
Trong khi đó, người dùng 23andMe, Kendra Fee, đã chỉ ra vào thứ Ba rằng 23andMe đang thông báo cho khách hàng về các thay đổi trong điều khoản dịch vụ liên quan đến giải quyết tranh chấp và trọng tài. Công ty nói rằng những thay đổi sẽ “khuyến khích giải quyết nhanh chóng mọi tranh chấp” và “tối ưu hóa các thủ tục trọng tài khi có nhiều khiếu nại tương tự được nộp.” Người dùng có thể từ chối điều khoản mới bằng cách thông báo cho công ty rằng họ từ chối trong vòng 30 ngày kể từ khi nhận được thông báo về sự thay đổi.
Cập nhật lúc 10:35 tối, ngày 5 tháng 12 năm 2023, để bao gồm thông tin mới về tài khoản 23andMe của giám đốc An ninh mạng Cơ quan An ninh Quốc gia Mỹ Rob Joyce và các ảnh hưởng lớn hơn từ trải nghiệm của ông.
