Prywatność
Wyciek danych użytkowników usług testów genetycznych
Wyciekły dane wrażliwe 1,3 mln użytkowników usług testów genetycznych 23andMe. Nie jest jasne, jak doszło do incydentu. Jedno jest jednak pewne: gigant genetyki powinien lepiej zadbać o bezpieczeństwo swoich usług.
Firma 23andMe znana jest jako gigant oferujący popularne usługi komercyjnych testów genetycznych pozwalających np. sprawdzić, z jakiej grupy etnicznej się wywodzimy. Kto nie chciałby przez chwilę poczuć się Celtem albo przybyszem ze słonecznej Andaluzji? Właśnie to umożliwiają sprzedawane przez tę firmę zestawy do samodzielnego pobierania próbek DNA w oparciu o krople śliny.
Według serwisu The Record, wyciekły dane 1,3 mln użytkowników usług genetycznych 23andMe. Firma potwierdziła, że doszło do wycieku i uzyskania dostępu do danych przez hakerów, którzy wystawili je na sprzedaż w dark webie. Na jednym z forów, jak czytamy, na sprzedaż wystawiono informacje o 7 mln użytkownikach usług tej firmy. Skąd zatem rozbieżność w liczbie pokrzywdzonych? Z weryfikacji, którą przeprowadził jeden z badaczy cyberbezpieczeństwa - w przypadku 1,3 mln osób udało się potwierdzić, że rzeczywiście sprzedawane przez cyberprzestępców informacje pochodzą z usług 23andMe.
Jakie dane wyciekły?
Według cyberprzestępców, dane o profilach genetycznych klientów. Zdaniem The Record informacje o pochodzeniu etnicznym, fenotypie, dane zdrowotne, zdjęcia, dane identyfikacyjne oraz teleadresowe. W niektórych źródłach pojawia się także informacja o tym, że wyciekły markery genetyczne obojga rodziców klientów firmy.
Spółka 23andMe na początku zaprzeczała, jakoby doszło do wycieku i twierdziła, że wpisy na forach hakerskich są fałszywe. Później jednak stwierdziła, że jest świadoma iż doszło do wycieku informacji o klientach i ich profilach, a zostały one skompilowane przez nieuprawnione do dostępu do danych podmioty, które uzyskały dostęp do indywidualnych kont klientów, powiązanych w ramach usługi DNA Relative. Usługa ta pozwala na wskazywanie przez firmę 23andMe potencjalnie spokrewnionych z klientami osób.
„Obecnie nic nie wskazuje na to, że w naszych systemach doszło do incydentu związanego z bezpieczeństwem danych” - przekazała firma. Według 23andMe dowody zebrane w ramach wstępnego dochodzenia w sprawie świadczą o tym, że do pozyskania danych doszło w wyniku działania metodą credential stuffing. Cyberprzestępcy wykorzystali do zalgoowania się na konta użytkowników dane do logowania ujawnione już w innych incydentach - dlatego tak ważne jest, aby każdorazowo do lgoowania w usługach cyfrowych używać silnego i unikalnego hasła.
Skąd taka liczba?
Firma 23andMe wyjaśnia to tym, że cyberprzestępcy musieli uzyskać dostęp do tak naprawdę kilkunastu kont klientów, a następnie skorzystać z możliwości zescrapowania danych z usługi DNA Relative. Właśnie w ten sposób liczba osób pokrzywdzonych w wycieku miała osiągnąć tak gigantyczne rozmiary. Co ciekawe, rzecznik spółki nie chcial komentować, ile osób ostatecznie ucierpiało w wyniku incydentu. Jak podkreślił, podstawowe informacje o klientach zapisanych do usługi DNA Relative widoczne są dla wszystkich innych jej użytkowników - pod warunkiem, że dana osoba ustawi swój profil jako dostępny.
Z serwisem The Record skontaktował się badacz bezpieczeństwa, który zbadał próbki danych sprzedawane na dark webowych forach. Jego zdaniem wyciek jest wiarygodny - bo ekspert znalazł tam m.in. dane swojej żony oraz innych bliskich osób. Jak wskazał, w ujawnionych informacjach znajdują się dane ok. miliona użytkowników 23andMe pochodzenia aszkenazyjskiego i ok. 300 tys. pochodzenia chińskiego.
W udostępnionych zbiorach danych znajdują się m.in. numery identyfikacyjne kont klientów usługi, imiona i nazwiska, płeć, daty urodzenia, markery genetyczne obojga rodziców, wyniki badań dotyczące przodków, a także dane na temat tego, czy dana osoba zgodziła się na uczestnictwo w usługach przetwarzania danych zdrowotnych przez 23andMe.
Badacz podkreślił, że dane te nie powinny zostać ujawnione publicznie i jeśli już, to powinny być widoczne tylko do osób, które znajdą swoich krewnych za pośrednictwem analizy DNA w ramach firmy. Ekspert podkreślił, że mimo, iż w ujawnionych danych nie znalazły się informacje dotyczące sekwencji DNA klientów, to informacje te w żadnym razie nie powinny być ogólnodostępne - mimo tego, że firma bagatelizuje incydent.
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].