Компанія 23andMe, що займається генетичним тестуванням, повідомила про інцидент, що стався у жовтні, коли хакери викрали дані деяких її користувачів. Компанія оголосила, що в результаті кібератаки злочинці отримали доступ до близько 0,1% облікових записів клієнтів. Водночас хакерам вдалося отримати більше інформації через сервіси, які продає компанія.
Як зазначає TechCrunch, компанія підтвердила, що, отримавши доступ до понад десятка тисяч акаунтів, хакери також змогли отримати доступ до “значної кількості файлів”, що містять інформацію про родовід інших користувачів, якою користувачі діляться, коли погоджуються на використання функції 23andMe “ДНК-родичі”. Компанія не уточнила, що це за “значна кількість” файлів, а також не вказала, скільки користувачів додатково постраждали.
Згідно з останнім річним звітом про прибутки компанії, 23andMe має понад 14 мільйонів клієнтів по всьому світу, що означає, що 0,1% — це близько 14 000.
Припускається, що завдяки функції “ДНК-родичів” хакери змогли отримати доступ до даних близько 5,5 млн облікових записів, що користуються цією функцією. Мова про конфіденційні дані, такі як імена, прізвища та місцезнаходження, інформація про ДНК-збіги, потенційні зв’язки та звіти про походження. Додатково 1,4 млн акаунтів, ймовірно, постраждали через те, що хакери скористалися інформацією із сервісу “Сімейного дерева”, який розкриває інформацію про імена, стосунки, роки народження та місцезнаходження користувачів.
23andMe дозволяє користувачам користуватися функцією під назвою “ДНК-родичі”. Якщо користувач обирає цю функцію, компанія ділиться деякою інформацією про нього з іншими користувачами. Це означає, що, отримавши доступ до акаунту однієї жертви, хакери також змогли побачити персональні дані людей, пов’язаних з цією першою жертвою.
У жовтні компанія повідомила, що хакери змогли викрасти дані, використовуючи поширену техніку, так звану “підміну облікових даних” (credential stuffing). Кіберзлочинці зламують обліковий запис жертви, використовуючи скомпроментований раніше пароль, який став відомим через витік даних на іншому сервісі.
У своїй заяві 23andMe повідомила, що серед перших 14 000 користувачів викрадені дані загалом включали інформацію про родовід, а для підгрупи цих акаунтів — інформацію про стан здоров’я, засновану на генетиці користувача. Щодо іншої підгрупи користувачів, компанія зазначила, що хакери викрали лише “інформацію про профіль”, а потім розмістили “певну інформацію” в інтернеті.
Після першого повідомлення про витік у жовтні та проведення початкового розслідування 23andMe заявила, що “витоку результатів генетичного тестування не було”. 23andMe радила постраждалим змінити свої паролі, а пізніше запровадила обов’язкову двофакторну аутентифікацію.
Згодом, компанія додала, що “атаку хакерів вдалося стримати” і, що вона “працює над видаленням опублікованої інформації”. Дані окремих жертв у даркнеті продавалися за $1-10, а також злочинці пропонували до продажу велику базу даних компанії на декілька сотень терабайтів за $50 млн.
