آزمایش ژنتیک شرکت 23andMe روز جمعه تایید کرد که داده های زیرمجموعه ای از کاربرانش به خطر افتاده است. این شرکت گفت که سیستمهایش هک نشدهاند و مهاجمان دادهها را با حدس زدن اعتبار ورود گروهی از کاربران جمعآوری کردهاند و سپس اطلاعات بیشتری در مورد افراد از ویژگیای به نام اقوام DNA جمعآوری میکنند. کاربران انتخاب می کنند که اطلاعات خود را از طریق اقوام DNA به اشتراک بگذارند تا دیگران ببینند.
هکرها اوایل این هفته یک نمونه داده اولیه را در پلتفرم BreachForums منتشر کردند و ادعا کردند که حاوی 1 میلیون قطعه داده منحصراً درباره یهودیان اشکنازی است. همچنین به نظر می رسد که صدها هزار کاربر چینی از نشت تحت تأثیر قرار گرفته اند. روز چهارشنبه، این بازیگر شروع به فروش پروفایل های 23andMe با قیمت بین 1 تا 10 دلار در هر حساب کرد، بسته به اندازه خرید. این داده ها شامل مواردی مانند نام نمایشی، جنسیت، سال تولد، و برخی جزئیات در مورد نتایج ژنتیکی است، مانند اینکه آیا یک فرد، برای مثال، اصل و نسب “عمدتا اروپایی” یا “عمدتا ،” است. همچنین ممکن است شامل اطلاعات دقیق تری در مورد اجداد جغرافیایی باشد. به نظر نمی رسد این اطلاعات شامل داده های ژنتیکی واقعی و خام باشد.
این شرکت در بیانیه ای تاکید کرد که هیچ مدرکی دال بر هک شدن سیستم هایش ندیده است. همچنین کاربران را تشویق میکند تا از رمزهای عبور قوی و منحصربهفرد استفاده کنند و احراز هویت دو مرحلهای را فعال کنند تا از مهاجمان از به خطر انداختن حسابهای فردی خود با استفاده از اعتبارنامههای ورود که در سایر موارد نقض دادهها در معرض دید قرار میگیرند، جلوگیری کنند.
این شرکت در بیانیه ای گفت: «به ما اطلاع داده شده است که برخی از اطلاعات نمایه مشتری 23andMe از طریق دسترسی به حساب های فردی 23andMe.com جمع آوری شده است. ما معتقدیم عامل تهدید میتوانست با نقض شرایط خدمات ما، بدون مجوز به حسابهای 23andme.com دسترسی داشته باشد و اطلاعاتی را از آن حسابها کسب کند.»
این شرکت نگفت که آیا اطلاعات افشا شده توسط عامل تهدید را تایید کرده است یا خیر، و اشاره کرد که تحقیقات آن ادامه دارد و در حال حاضر “نتایج اولیه” دارد. یکی از سخنگویان شرکت به WIRED گفت که اطلاعات فاش شده مربوط به موقعیتی است که در آن حسابهای کاربری خاصی افشا شده و سپس برای بازیابی اطلاعات قابل مشاهده در DNA بستگان مورد سوء استفاده قرار میگیرند. اما هنگامی که از او پرسیده شد که آیا دادهها تایید شدهاند، سخنگوی گفت که راستیآزمایی دادهها ادامه دارد و شرکت در حال حاضر نمیتواند واقعی بودن اطلاعات فاش شده را تأیید کند.
این نکته هم برای هر کسی که اطلاعاتش به خطر افتاده است و هم برای اینکه دادههای منتشر شده توسط این بازیگر ادعا میکند که شامل «سلبریتیها» میشود، مهم است. ورودیهای مارک زاکربرگ، ایلان ماسک و سرگئی برین، فنآوران، همگی در دادههای نمونه قابل مشاهده هستند، از جمله «شناسه نمایه»، «شناسه حساب»، نام، جنسیت، سال تولد، مکان فعلی و فیلدهایی به نامهای «ydna» و «ndna». مشخص نیست که آیا دادههای موجود در این ورودیها قانونی هستند یا اینکه درج شدهاند. به عنوان مثال، به نظر می رسد ماسک و برین دارای مشخصات و اعتبار حساب یکسان در افشای اطلاعات هستند.
منبع: https://www.wired.com/story/23andme-credential-stuffing-data-stolen/