23andMe xác nhận những kẻ tấn công đã đánh cắp dữ liệu kiểu gen thô trong một vụ vi phạm lớn từ nhiều tháng trước

Trong một vụ vi phạm bảo mật dữ liệu lớn, 23andMe, một dịch vụ xét nghiệm di truyền trực tiếp cho người tiêu dùng nổi tiếng, đã xác nhận rằng những kẻ tấn công đã đánh cắp thành công dữ liệu kiểu gen thô từ hàng triệu người dùng vài tháng trước. Công ty đã thông báo cho những người dùng bị ảnh hưởng rằng thông tin bị xâm phạm bao gồm dữ liệu kiểu gen, báo cáo sức khỏe và các chi tiết nhạy cảm khác.

Vụ vi phạm kéo dài 5 tháng từ cuối tháng 4 năm 2023 đến tháng 9 năm 2023, là kết quả của một cuộc tấn công nhồi thông tin xác thực chứ không phải là xâm nhập trực tiếp vào hệ thống của 23andMe. Những kẻ tấn công khai thác mật khẩu được sử dụng lại, giành quyền truy cập trái phép vào tài khoản người dùng. Theo thông báo vi phạm được gửi đến các cá nhân bị ảnh hưởng, kẻ đe dọa đã lợi dụng thực tế là người dùng sử dụng cùng thông tin đăng nhập trên 23andMe.com như trên các trang web khác đã bị xâm phạm trước đó.

Cuộc điều tra do 23andMe thực hiện cho thấy những kẻ tấn công có thể truy cập dữ liệu kiểu gen thô không bị gián đoạn của người dùng và các thông tin nhạy cảm khác, bao gồm báo cáo sức khỏe, báo cáo khuynh hướng sức khỏe, báo cáo sức khỏe và báo cáo trạng thái người mang mầm bệnh. Vi phạm này gây ra rủi ro đáng kể vì nó liên quan đến việc lộ dữ liệu liên quan đến sức khỏe và di truyền mang tính cá nhân và riêng tư cao.

Điều thú vị là vào tháng 10 năm trước, một kẻ đe dọa có tên Golem tuyên bố đã lấy được dữ liệu từ bảy triệu người dùng 23andMe. Các mẫu dữ liệu bị đánh cắp đã được chia sẻ trên thị trường tội phạm mạng BreachForums, chứa các mục như tên, giới tính, tuổi, vị trí và dấu hiệu tổ tiên, bao gồm các nhóm đơn bội dòng dõi, yDNA và mtDNA theo dõi tổ tiên của cha và mẹ. Đáng chú ý, một vụ rò rỉ có chủ đích nhắm mục tiêu vào một triệu "người nổi tiếng" gốc Do Thái Ashkenazi, trong khi một đợt rò rỉ khác bao gồm hơn bốn triệu cá nhân, chủ yếu đến từ Vương quốc Anh. Mặc dù các bài viết gốc trên diễn đàn đã bị xóa nhưng các thành viên diễn đàn khác vẫn tiếp tục đăng lại dữ liệu.

Để đối phó với sự cố bảo mật, 23andMe đã thực hiện các biện pháp chủ động bằng cách triển khai xác thực đa yếu tố cho tất cả người dùng. Lớp bảo mật bổ sung này nhằm mục đích tăng cường bảo vệ và giảm thiểu rủi ro truy cập trái phép, nhấn mạnh tầm quan trọng của việc bảo vệ thông tin di truyền và sức khỏe nhạy cảm trong bối cảnh kỹ thuật số ngày càng được kết nối với nhau. Vụ vi phạm này như một lời nhắc nhở về những thách thức đang diễn ra mà các công ty phải đối mặt trong việc bảo mật dữ liệu người dùng và vai trò quan trọng của người dùng trong việc duy trì mật khẩu mạnh, duy nhất trên nhiều nền tảng trực tuyến khác nhau.