Χάκερς κατάφεραν να αποκτήσουν πρόσβαση σε προσωπικές πληροφορίες περίπου 6,9 εκατομμυρίων χρηστών της εταιρείας γενετικών εξετάσεων 23andMe, χρησιμοποιώντας παλιούς κωδικούς πρόσβασης των πελατών.
Σε ορισμένες περιπτώσεις αυτό περιλάμβανε δέντρα γενεαλογίας, έτη γέννησης και γεωγραφικές τοποθεσίες, δήλωσε η εταιρεία.
Μετά από εβδομάδες εικασιών, η εταιρεία έθεσε έναν αριθμό στη διαρροή, με περισσότερους από το μισό των πελατών της πληγέντων.
Τα κλοπιμαία δεδομένα δεν περιλαμβάνουν εγγραφές DNA.
Η 23andMe είναι μια γίγαντας στον αναπτυσσόμενο κλάδο της ανίχνευσης προγόνων. Προσφέρει γενετικές εξετάσεις από το DNA, με αναλύσεις καταγωγής και εξατομικευμένες υγειονομικές ενδείξεις.
Η βιοτεχνολογική εταιρεία, που εδρεύει στο South San Francisco, δεν υπέστη καθεαυτή χάκερς, αλλά οι κυβερνο-εγκληματίες συνδέθηκαν σε περίπου 14.000 μεμονωμένους λογαριασμούς ή 0,1% των πελατών, χρησιμοποιώντας λεπτομέρειες email και κωδικούς πρόσβασης που είχαν διαρρεύσει προηγουμένως σε άλλες επιθέσεις.
Όπως ανέφερε αρχικά το Tech Crunch, η εταιρεία αναγνώρισε ότι μέσω της πρόσβασης σε εκείνους τους λογαριασμούς, οι χάκερς μπόρεσαν να εισέλθουν σε “ένα σημαντικό αριθμό αρχείων που περιείχαν πληροφορίες προφίλ για την καταγωγή άλλων χρηστών”.
Οι εγκληματίες κατέβασαν όχι μόνο τα δεδομένα από αυτούς τους λογαριασμούς, αλλά και τις προσωπικές πληροφορίες όλων των άλλων χρηστών στους οποίους είχαν συνδέσεις στα διακλαδιζόμενα γενεαλογικά δέντρα στην ιστοσελίδα.
Τα κλοπιμαία δεδομένα περιλαμβάνουν πληροφορίες όπως ονόματα, η σύνδεση κάθε άτομου και σε ορισμένες περιπτώσεις έτη γέννησης, τοποθεσίες, φωτογραφίες, διευθύνσεις και το ποσοστό του DNA που μοιράζονται με συγγενείς.
Όπως αναφέρθηκε αρχικά από το TechCrunch, οι χάκερς κατάφεραν να έχουν πρόσβαση στις πληροφορίες προφίλ των γενεαλογικών δέντρων περίπου 1,4 εκατομμυρίου άλλων πελατών που συμμετέχουν στο χαρακτηριστικό των DNA συγγενών, συμπεριλαμβανομένων των ονομάτων εμφάνισης και των ετικετών σχέσης.
Μια παρτίδα δεδομένων προωθήθηκε σε ένα φόρουμ χακερισμού ως λίστα ανθρώπων με εβραϊκή καταγωγή, προκαλώντας ανησυχίες για στοχευμένες επιθέσεις.
Αλλά προς το παρόν δεν υπάρχουν αποδεικτικά στοιχεία ότι οποιαδήποτε από τα σύνολα δεδομένων που διαφημίζονται έχουν έχει αγοραστές ή ότι έχουν χρησιμοποιηθεί από εγκληματίες.
Ο Oz Alashe, CEO της CybSafe, μιας πλατφόρμας διαχείρισης κινδύνων, είπε ότι η παραβίαση δεδομένων στην 23andMe “υπογραμμίζει τη σημασία της βελτίωσης των συμπεριφορών κυβερνοασφαλείας στον γενικό πληθυσμό”.
“Οι κακά ασφαλισμένοι λογαριασμοί, με αδύναμους κωδικούς πρόσβασης και χωρίς διπλής επαλήθευσης, θέτουν σε κίνδυνο όλους εκείνους που μοιράζονται τα ευαίσθητα δεδομένα τους”, δήλωσε.
Η 23andMe δήλωσε ότι ενημερώνει τώρα όλους τους επηρεασμένους πελάτες, όπως απαιτεί ο νόμος. Η εταιρεία θα αναγκάσει τους πελάτες να αλλάξουν τους κωδικούς πρόσβασής τους και να βελτιώσουν την ασφάλεια των λογαριασμών τους.
