A 23andMe megerősítette, hogy a támadók nyers genotípusadatokat loptak el a hatalmas jogsértések során hónapokkal ezelőtt

Egy hatalmas adatbiztonsági incidens során a 23andMe, egy kiemelkedő, közvetlen fogyasztói genetikai tesztelő szolgáltatás megerősítette, hogy a támadók több hónapja sikeresen ellopták a nyers genotípus adatokat több millió felhasználótól. A vállalat értesítette az érintett felhasználókat, hogy a feltört információk genotípus-adatokat, egészségügyi jelentéseket és egyéb kényes részleteket tartalmaznak.

A 2023. április végétől 2023. szeptemberéig tartó öt hónapig tartó incidens inkább egy hitelesítő adatokkal való feltöltődésből fakadt, nem pedig a 23andMe rendszereibe való közvetlen behatolásból. A támadók az újrafelhasznált jelszavakat kihasználva jogosulatlan hozzáférést szereztek a felhasználói fiókokhoz. Az érintett személyeknek küldött jogsértési értesítés szerint a fenyegetettség szereplője kihasználta azt a tényt, hogy a felhasználók ugyanazokat a bejelentkezési adatokat használták a 23andMe.com oldalon, mint más, korábban feltört webhelyeken.

A 23andMe által végzett vizsgálat feltárta, hogy a támadók megszakítás nélkül hozzáférhettek a felhasználók nyers genotípus-adataihoz és egyéb érzékeny információkhoz, beleértve az egészségügyi jelentéseket, az egészségi hajlamra vonatkozó jelentéseket, a wellness-jelentéseket és a hordozók állapotjelentéseit. Ez az incidens jelentős kockázatot jelent, mivel erősen személyes és magánjellegű genetikai és egészséggel kapcsolatos adatok nyilvánosságra hozatalával jár.

Érdekes módon az előző év októberében egy Golem néven ismert fenyegetettség szereplője azt állította, hogy hétmillió 23andMe-felhasználótól szerzett adatokat. Az ellopott adatmintákat a kiberbűnözés piacterén, a BreachForums-on osztották meg, amely olyan bejegyzéseket tartalmazott, mint a név, nem, életkor, hely és származási markerek, beleértve a származást, az yDNS-t és az mtDNS haplocsoportokat, amelyek nyomon követik az apai és anyai származást. Nevezetesen, az egyik kiszivárogtatás állítólag egymillió zsidó askenázi származású "hírességet" célzott, míg egy másik csoport több mint négymillió személyt tartalmazott, elsősorban az Egyesült Királyságból. Bár a fórumon az eredeti bejegyzéseket törölték, a többi fórumtag folytatta az adatok újraküldését.

A biztonsági incidensre válaszul a 23andMe proaktív intézkedéseket hozott azáltal, hogy többtényezős hitelesítést vezetett be minden felhasználó számára. Ennek a további biztonsági rétegnek a célja a védelem fokozása és az illetéktelen hozzáférés kockázatának csökkentése, hangsúlyozva az érzékeny genetikai és egészségügyi információk védelmének fontosságát az egyre inkább összekapcsolódó digitális környezetben. A jogsértés emlékeztet azokra a folyamatos kihívásokra, amelyekkel a vállalatok szembesülnek a felhasználói adatok védelme terén, valamint a felhasználók kritikus szerepére az erős, egyedi jelszavak fenntartásában a különböző online platformokon.