Logotyp serwisu CyberDefence24
Reklama

Prywatność

Wyciek danych użytkowników usług testów genetycznych

Małgorzata Fraser

Autor. Sangharsh Lohakare / Unsplash

Wyciekły dane wrażliwe 1,3 mln użytkowników usług testów genetycznych 23andMe. Nie jest jasne, jak doszło do incydentu. Jedno jest jednak pewne: gigant genetyki powinien lepiej zadbać o bezpieczeństwo swoich usług.

Reklama

Firma 23andMe znana jest jako gigant oferujący popularne usługi komercyjnych testów genetycznych pozwalających np. sprawdzić, z jakiej grupy etnicznej się wywodzimy. Kto nie chciałby przez chwilę poczuć się Celtem albo przybyszem ze słonecznej Andaluzji? Właśnie to umożliwiają sprzedawane przez tę firmę zestawy do samodzielnego pobierania próbek DNA w oparciu o krople śliny.

Reklama

Według serwisu The Record, wyciekły dane 1,3 mln użytkowników usług genetycznych 23andMe. Firma potwierdziła, że doszło do wycieku i uzyskania dostępu do danych przez hakerów, którzy wystawili je na sprzedaż w dark webie. Na jednym z forów, jak czytamy, na sprzedaż wystawiono informacje o 7 mln użytkownikach usług tej firmy. Skąd zatem rozbieżność w liczbie pokrzywdzonych? Z weryfikacji, którą przeprowadził jeden z badaczy cyberbezpieczeństwa - w przypadku 1,3 mln osób udało się potwierdzić, że rzeczywiście sprzedawane przez cyberprzestępców informacje pochodzą z usług 23andMe.

Jakie dane wyciekły?

Według cyberprzestępców, dane o profilach genetycznych klientów. Zdaniem The Record informacje o pochodzeniu etnicznym, fenotypie, dane zdrowotne, zdjęcia, dane identyfikacyjne oraz teleadresowe. W niektórych źródłach pojawia się także informacja o tym, że wyciekły markery genetyczne obojga rodziców klientów firmy.

Reklama

Spółka 23andMe na początku zaprzeczała, jakoby doszło do wycieku i twierdziła, że wpisy na forach hakerskich są fałszywe. Później jednak stwierdziła, że jest świadoma iż doszło do wycieku informacji o klientach i ich profilach, a zostały one skompilowane przez nieuprawnione do dostępu do danych podmioty, które uzyskały dostęp do indywidualnych kont klientów, powiązanych w ramach usługi DNA Relative. Usługa ta pozwala na wskazywanie przez firmę 23andMe potencjalnie spokrewnionych z klientami osób.

„Obecnie nic nie wskazuje na to, że w naszych systemach doszło do incydentu związanego z bezpieczeństwem danych” - przekazała firma. Według 23andMe dowody zebrane w ramach wstępnego dochodzenia w sprawie świadczą o tym, że do pozyskania danych doszło w wyniku działania metodą credential stuffing. Cyberprzestępcy wykorzystali do zalgoowania się na konta użytkowników dane do logowania ujawnione już w innych incydentach - dlatego tak ważne jest, aby każdorazowo do lgoowania w usługach cyfrowych używać silnego i unikalnego hasła.

Eksperci mają jednak wątpliwości, czy aby na pewno do wycieku tej skali mogło dojść w wyniku wykorzystania tej metody - mówimy bowiem o wycieku danych co najmniej 1,3 mln osób.

Skąd taka liczba?

Firma 23andMe wyjaśnia to tym, że cyberprzestępcy musieli uzyskać dostęp do tak naprawdę kilkunastu kont klientów, a następnie skorzystać z możliwości zescrapowania danych z usługi DNA Relative. Właśnie w ten sposób liczba osób pokrzywdzonych w wycieku miała osiągnąć tak gigantyczne rozmiary. Co ciekawe, rzecznik spółki nie chcial komentować, ile osób ostatecznie ucierpiało w wyniku incydentu. Jak podkreślił, podstawowe informacje o klientach zapisanych do usługi DNA Relative widoczne są dla wszystkich innych jej użytkowników - pod warunkiem, że dana osoba ustawi swój profil jako dostępny.

Z serwisem The Record skontaktował się badacz bezpieczeństwa, który zbadał próbki danych sprzedawane na dark webowych forach. Jego zdaniem wyciek jest wiarygodny - bo ekspert znalazł tam m.in. dane swojej żony oraz innych bliskich osób. Jak wskazał, w ujawnionych informacjach znajdują się dane ok. miliona użytkowników 23andMe pochodzenia aszkenazyjskiego i ok. 300 tys. pochodzenia chińskiego.

W udostępnionych zbiorach danych znajdują się m.in. numery identyfikacyjne kont klientów usługi, imiona i nazwiska, płeć, daty urodzenia, markery genetyczne obojga rodziców, wyniki badań dotyczące przodków, a także dane na temat tego, czy dana osoba zgodziła się na uczestnictwo w usługach przetwarzania danych zdrowotnych przez 23andMe.

Badacz podkreślił, że dane te nie powinny zostać ujawnione publicznie i jeśli już, to powinny być widoczne tylko do osób, które znajdą swoich krewnych za pośrednictwem analizy DNA w ramach firmy. Ekspert podkreślił, że mimo, iż w ujawnionych danych nie znalazły się informacje dotyczące sekwencji DNA klientów, to informacje te w żadnym razie nie powinny być ogólnodostępne - mimo tego, że firma bagatelizuje incydent.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].

Reklama

Komentarze

    Reklama

    Czytaj także

    Technologia deepfake
    #CyberMagazyn: Deepfake. Ekspertka radzi, jak nie dać się oszukać
    Fudo Security
    Bezpieczna firma. Na co zwrócić uwagę?
    Koniec Samourai Wallet. Platforma służyła do prania brudnych pieniędzy
    Hakerzy z Korei Północnej nieustannie atakują
    Oszustwo „na rekrutera”. Korea Północna stale atakuje
    Zhakowano belgijską parlamentarzystkę. Kolejny chiński atak?
    Artyści a prawo do tantiem
    Prawo autorskie w internecie. Branża ostro: rząd powinien stać po stronie twórców
    Elon Musk zainwestuje 6 miliardów dolarów w OpenAI
    Elon Musk zainwestuje 6 miliardów dolarów w OpenAI
    Czy dojdzie do całkowitego zakazu TikToka w USA?
    Co dalej z TikTokiem w USA? Chiński właściciel: Nie zostanie sprzedany