23andMe zajmuje się testami genetycznymi, sporządzając dla klientów raporty dotyczące ich przodków i pokrewieństwa. Według CNN wyciekły dane genetyczne, a także obejmujące imiona i nazwiska, powiązania osób, a w niektórych przypadkach lata urodzenia, lokalizacje, zdjęcia czy adresy. Ze zgłoszenia złożonego przez 23andMe do Komisji Papierów Wartościowych i Giełd wynika, że hakerzy włamali się na konta około 0,1 proc. kont użytkowników firmy, czyli około 14 tys. Jednak teraz 23andMe informuje, że hakerom udało się uzyskać dostęp do około 5,5 miliona profili korzystających z firmowej funkcji o nazwie DNA Relatives, która umożliwia użytkownikom znajdowanie krewnych.
Okradzione 23andMe
Ponadto hakerzy uzyskali dostęp do podzbioru informacji o drzewach genealogicznych znajdujących się w 1,4 milionach profili DNA Relatives, poinformował rzecznik 23andMe w oświadczeniu.
Engadget, serwis informacyjny poświęcony technologii jako pierwszy poinformował o skutkach włamania. To najnowsze włamanie do dużej amerykańskiej korporacji, które dotknęło znacznie więcej osób, niż sugerowały początkowe doniesienia.
Czytaj więcej
Hakerzy coraz częściej uderzają placówki medyczne i poszukują nowych form nacisku na swoje ofiary, aby zmusić je do zapłacenia okupu. Nie tylko kra...
W zeszłym miesiącu firma zajmująca się zarządzaniem tożsamością Okta przyznała, że hakerzy ukradli dane wszystkich użytkowników systemu obsługi klienta, po tym jak wcześniej zgłosiła, że problem dotyczył mniej niż 1 proc. z ponad 18 tys. użytkowników.
Część danych została już opublikowana na forum hakerskim jako lista osób o żydowskim pochodzeniu, co wzbudziło obawy przed atakami na tle rasowym i etnicznym. Jednak obecnie nie ma dowodów na to, że któryś e zbiorów danych znalazł nabywców lub że zostały wykorzystane przez przestępców.
Jak atakują hakerzy
W przypadku 23andMe hakerzy ponownie wykorzystali stare nazwy użytkowników i hasła z innych witryn, aby włamać się na konta klientów 23andMe — jest to podstawowa, ale skuteczna technika zwana upychaniem danych uwierzytelniających. Rzecznik 23andMe, który odmówił podania swojego nazwiska, nie odpowiedział na pytania dotyczące tego, kto przeprowadził włamanie. „23andMe zakończyło dochodzenie przy wsparciu niezależnych ekspertów medycyny sądowej. Zgodnie z wymogami prawa jesteśmy w trakcie powiadamiania konkretnych klientów” – napisano w oświadczeniu na stronie internetowej firmy. „Podjęliśmy kroki w celu dalszej ochrony danych klientów, w tym wymagamy od wszystkich obecnych klientów resetowania haseł i wymagamy dwuetapowej weryfikacji od wszystkich nowych i istniejących klientów” – napisano.
Czytaj więcej
Na jednym z XVI-wiecznych arrasów na Wawelu uwagę zwraca dziwaczny ptak z wielką głową. Wtedy dodo jeszcze żyły. Teraz jest szansa, że powrócą, pod...
Oz Alashe, dyrektor generalny CybSafe, platformy zarządzania ryzykiem, powiedział BBC, że naruszenie danych w 23andMe „podkreśla znaczenie poprawy zachowań związanych z cyberbezpieczeństwem w populacji ogólnej”. „Słabo zabezpieczone konta, że słabymi hasłami i brakiem uwierzytelniania dwuskładnikowego narażają na ryzyko wszystkie osoby udostępniające swoje wrażliwe dane” – dodał.
