Kinumpirma ng 23andMe na Ninakaw ng mga Attacker ang Raw Genotype Data sa Napakalaking Paglabag Ilang buwan na ang nakalipas
Sa isang napakalaking paglabag sa seguridad ng data, kinumpirma ng 23andMe, isang kilalang serbisyo ng genetic testing na direct-to-consumer, na matagumpay na ninakaw ng mga attacker ang raw genotype data mula sa milyun-milyong user ilang buwan na ang nakalipas. Inabisuhan ng kumpanya ang mga apektadong user na kasama sa nakompromisong impormasyon ang data ng genotype, mga ulat sa kalusugan, at iba pang sensitibong detalye.
Ang paglabag, na tumagal ng limang buwan mula sa huling bahagi ng Abril 2023 hanggang Setyembre 2023, ay nagresulta mula sa isang pag-atake sa paglalagay ng kredensyal sa halip na isang direktang panghihimasok sa mga system ng 23andMe. Sinamantala ng mga umaatake ang mga muling ginamit na password, na nakakuha ng hindi awtorisadong pag-access sa mga user account. Ayon sa abiso ng paglabag na ipinadala sa mga apektadong indibidwal, ginamit ng banta ng aktor ang katotohanan na ang mga user ay gumagamit ng parehong mga kredensyal sa pag-log in sa 23andMe.com tulad ng sa iba pang mga website na dati nang nakompromiso.
Ang pagsisiyasat na isinagawa ng 23andMe ay nagsiwalat na ang mga umaatake ay na-access ang walang patid na raw genotype data ng mga user at iba pang sensitibong impormasyon, kabilang ang mga ulat sa kalusugan, mga ulat sa predisposisyon sa kalusugan, mga ulat sa kalusugan, at mga ulat sa status ng carrier. Ang paglabag na ito ay nagdudulot ng malaking panganib, dahil kinasasangkutan nito ang pagkakalantad ng lubos na personal at pribadong genetic at data na nauugnay sa kalusugan.
Kapansin-pansin, noong Oktubre ng nakaraang taon, isang banta na aktor na kilala bilang Golem ang nag-claim na nakakuha ng data mula sa pitong milyong gumagamit ng 23andMe. Ang mga ninakaw na sample ng data ay ibinahagi sa cybercrime marketplace BreachForums, na naglalaman ng mga entry gaya ng pangalan, kasarian, edad, lokasyon, at mga marker ng ancestry, kabilang ang lineage, yDNA, at mtDNA haplogroups na sumusubaybay sa paternal at maternal ancestry. Kapansin-pansin, ang isang pagtagas ay nag-target umano ng isang milyong Jewish Ashkenazi descent na "celebrity," habang ang isa pang batch ay binubuo ng higit sa apat na milyong indibidwal, pangunahin mula sa United Kingdom. Bagama't ang mga orihinal na post sa forum ay tinanggal, ang ibang mga miyembro ng forum ay nagpatuloy sa pag-repost ng data.
Bilang tugon sa insidente sa seguridad, ang 23andMe ay nagsagawa ng mga proactive na hakbang sa pamamagitan ng pagpapatupad ng multi-factor authentication para sa lahat ng user. Ang karagdagang layer ng seguridad na ito ay naglalayong pahusayin ang proteksyon at pagaanin ang panganib ng hindi awtorisadong pag-access, na nagbibigay-diin sa kahalagahan ng pagprotekta sa sensitibong genetic at impormasyong pangkalusugan sa isang lalong magkakaugnay na digital na landscape. Ang paglabag ay nagsisilbing paalala ng mga patuloy na hamon na kinakaharap ng mga kumpanya sa pag-secure ng data ng user at ang kritikal na papel na ginagampanan ng mga user sa pagpapanatili ng malakas at natatanging mga password sa iba't ibang online na platform.