基因检测公司23andMe正在调查一起数据泄露事件,该事件暴露了数百万用户的客户信息,包括个人资料照片、出生年份和祖先详细信息。
该公司在_Ars Technica_报道的一份声明中表示,泄露的数据是通过未经授权访问个人23andMe账户获得的。23andMe表示,初步结果表明,用于访问账户的登录凭据“可能是由威胁行为者从涉及其他在线平台的事件中泄露的数据中收集的,用户在这些平台上回收了登录凭据”。
这项被称为凭据填充的技术涉及使用之前泄露的用户名和密码侵入其他在线帐户。
在有人声称有人访问并正在出售某些23andMe客户数据后,我们进行了调查。我们没有发现任何未经授权访问我们的系统的行为。我们将继续监测局势。
--23andMeSupport(@23andMeSupport)2023年10月4日
23andMe在一篇博客文章中表示,没有证据表明其系统遭到了实际的破坏。该公司写道:“目前我们没有任何迹象表明我们的系统中发生了数据安全事件。”。
据_Wired_报道,此次入侵专门针对阿什肯纳兹犹太遗产的用户。本周早些时候,黑客在BreachForums平台上发布了一份初步数据样本,声称其中包含100万个专门关于阿什肯纳兹犹太人的数据点。
这些数据是通过刮取通过23andMe的“DNA亲属”功能连接的亲属的档案信息获得的,该功能允许客户在平台上连接基因匹配。通过访问被泄露的账户,黑客可以收集选择分享信息的相关用户的档案。
23andme在其博客文章中解释道:“我们认为,威胁行为者可能违反了我们的服务条款,在未经授权的情况下访问了23and.com账户,并从这些账户获取了信息。”。
这就是你的数据在暗网上的售价
上周,在黑客论坛上,一位不知名的用户发布了出售23andMe用户数据的广告,声称已经获得了700多万客户的信息。据_BleepingComputer_报道,泄露的数据包括“全名、用户名、个人资料照片、性别、出生日期、遗传祖先结果和地理位置”。
据报道,另一位论坛用户提供了批量访问23andMe个人资料的服务,每个账户的价格从1美元到10美元不等。
23andMe没有透露受影响用户数量或数据泄露程度的详细信息。但根据_Ars Technica_的数据,一个数据库包含100万阿什肯纳兹犹太血统的客户,而另一个数据库则拥有30万中国血统的用户档案。
安全专家一再提到基因数据泄露的风险。2021年2月,美国国家反情报与安全中心警告称:“你的DNA是你拥有的最有价值的东西。”。“它包含了你过去、现在和潜在未来的最私密细节——无论你是容易上瘾还是患癌症的高危人群。”
“失去你的DNA不像失去一张信用卡,”该中心继续说道。“你可以订购一张新的信用卡,但不能更换你的DNA。DNA的丢失不仅影响你,还会影响你的亲属,甚至可能影响子孙后代。”
颠覆23andMe
23andMe表示,它已向执法部门报告了这一违规行为,并鼓励客户重置密码并启用双因素身份验证。
23andMe表示:“我们积极、定期地监控和审计我们的系统,以确保您的数据得到保护。”。“当我们通过这些流程或从其他来源收到信息,声称客户数据被未经授权的个人访问时,我们会立即进行调查,以验证这些信息是否准确。”
这家基因检测公司基于DNA分析提供对祖先和健康风险的见解,自2006年成立以来,已收集了1400多万客户的基因数据。
23andMe表示,泄露的数据不包含任何基因组细节。但隐私倡导者长期以来一直对DNA分析结果的敏感性和种族数据在泄露中被泄露表示担忧。
23andMe漏洞发生之际,一系列重大网络攻击暴露了敏感用户信息。根据数字隐私公司Surfshark的数据,去年共有1090万个账户被泄露,每秒有10个账户被泄漏。
_编者按:这个故事是用解密AI从文本中引用的来源起草的,并由小泽进行了事实核查_